Взлом сайта на WordPress

Allex1

Ежедневно ломают сайт. У хостера доступны логи, но в них сведения об измененных и модифицированных файлах отсутствуют. Однако, есть сведения обо всех обращениях; отсутствие данных о заражении ИМХО говорит о том, что проникновения совершаются со стороны хостера, поэтому их не видно?
Логи

перевел в xls, отсортировал и сделал сводную табличку, в которой пометил некоторые организации (лист 3 сводная таблица). Понятно, что google, yandex и пр. вирусы распространять не будут.

С остальными не уверен.

За последние 5 дней, вызов процедуры дописывали в файл wp-content/themes/twentytwelve/js/navigation.js.

Сегодня вирус назывался wp-includes/js/mediaelement/michaelj.js.

Это имя всегда меняется, остается js.

Други, возможно ли по логам вычислить этих свалачей? Если нет, какими средствами их вычислить? (Шелы ищу параллельно)

Если эта информация платная, не стесняйтесь, пишите.

Allex1

fenixon:
насчет логов вы правы, антивирус и антиспам у них есть вроде Dr.Web копеек 30 или 40 в сутки, а в целом джино хост для начинающих, серьезным проектам там делать нечего а новичкам в самый раз, и ценовая политика у джино позволяет познавать сайтостроительство не "отваливая" кругленькую сумму хостеру.

ИМХО

Антивирус и антиспам платная опция только для почты, даже когда её подключаешь, спам идет.

20.11.2013 14:14
Подключил Dr.web антиспам, но спам идет

Кожухов Евгений 20.11.2013 18:42
Здравствуйте.

Система Dr.Web обладает возможностью обучения. Если вы получаете письма, ошибочно определяемые как не спам, пересылайте их целиком (как вложение) на специальный адрес: [email protected]

. В свою очередь, пропущенный фильтром спам нужно пересылать на [email protected]

.

Статус заявки изменён на «Требуется ваш ответ» (20.11.2013 18:42, Кожухов Евгений)

21.11.2013 10:43
1. Как пересылать письма как вложения, не понял.
2. У меня есть папка спам, письма оттуда я пересылаю на [email protected]

? Возможно ли выполнить групповую операцию, а не каждое письмо отдельно пересылать?
3. Не проще ли анализировать мой ящик спам, как это делают mail.ru и др.?

Статус заявки изменён на «Ожидает ответа оператора» (21.11.2013 10:43, lawyer)

Дубовицкий Александр 22.11.2013 18:26
Здравствуйте

1. Как пересылать письма как вложения, не понял.

Сохраните текст письма в отдельным текстовом редакторе.

2. У меня есть папка спам, письма оттуда я пересылаю на [email protected]

?

Да

Возможно ли выполнить групповую операцию, а не каждое письмо отдельно пересылать?

В одно письмо можно вложить несколько файлов с текстам спама.

Не проще ли анализировать мой ящик спам, как это делают mail.ru и др.?

Мы к сожалению данные операции не проводим.

fenixon

спросил у саппорта может у них есть платная услуга, что бы изменения файлов посмотреть. вот что ответили

Евгений Кожухов, 27.01.2014 16:33. Здравствуйте. Мы можем предоставить логи ftp доступа. На аккаунте изменения файлов не фиксируются.

Wmboard

Allex:
Подскажите, плиз. норм. хостинг.

Allex, много раз уже писал, поищите в темах новичков по вобле типа сайт с нуля, да и в статейном разделе есть. Тоже что-то типа сайта с нуля называется.

Ночная странница

Veter:
Вордпресс не ломают практически

Ломают. Меня уже достали ломать один из моих сайтов на вордпресс. Чищу, обновляю, удаляю шеллы, меняю пароли... дня два - и все заново. Ищу все плагины и методы защиты... Такое ощущение, что кому-то принципиально дался этот домен.

Wmboard

Ночная:
Ломают. Меня уже достали ломать один из моих сайтов на вордпресс.

О хостинге не думала? Если бы ломали вордпресс, то полрунета бложиков лежали бы. Вордпресс самый распространенный бесплатный движок, и если бы его ломали на любом из форумов уже давно стоял бы вой.

Давай угадаю.

Хостинг наш, расиянский, с какой нибудь говнопанелью самописной. У одной тетки сломали сайт.

Сайт на html без движка.

Что было? Хостинг hc. Так что вот так.

Ночная странница

О хостинге не думала - ломают только этот сайт и в логах - черт знает что, от попыток подбора пароля до простукивания директорий.

Жаль я не программист, не понимаю по логам, как в итоге удается взломать.

На этом же хостинге два сайта на других движках, там все тихо-мирно.

Но хостинг наш, это да... Попробовать интереса ради перекинуть на другой? Но что-то мне кажется, толку не будет.

Veter:
Если бы ломали вордпресс, то полрунета бложиков лежали бы

Я боюсь, что кому-то дался именн этот сайт.

Wmboard

Ночная:
Но что-то мне кажется, толку не будет.

Будет. Только нужно не забыть при переносе поставить свежую версию движка, а не с хостинга. А также исследовать шаблоны на предмет возможных уязвимостей. Также было бы неплохо хотя бы визуально просмотреть БД, тем более что она скорее всего небольшая, на предмет base64 всяких.

Ночная:
На этом же хостинге два сайта на других движках, там все тихо-мирно.

На шареде не может быть 3 сайта. Или у тебя сервер? На шареде пару сотен сайтов как минимум.

Ночная странница

Veter:
поставить свежую версию движка

Я это и так каждый раз делаю. Мне проще папки перекинуть заново, чем вручную все файлы проглядывать и сравнивать. Остаются свои практически только uploadы и themes ну и файл конфига.

Veter:
А также исследовать шаблоны на предмет возможных уязвимостей

М... темки нет?

Veter:
Также было бы неплохо хотя бы визуально просмотреть БД, тем более что она скорее всего небольшая, на предмет base64 всяких.

6 метров. Просмотрю. не знала, спасибо.

Veter:
На шареде не может быть 3 сайта

Я имею ввиду в моем аккаунте три.

Wmboard

Ночная:
uploadы и themes ну и файл конфига

Вот в них нужно и искать всю эту хрень.
А как именно тебя ломают. Расскажи. Что за признаки ты видишь?

Ночная странница

В базу полезла... base64 нету, но какая-то непонятность есть... ... Что я вижу? Кучу разных php залитых, редирект в конфиге типа

 require_once(ABSPATH.'wp-content/plugins/xcalendar/xcalendar.php');

xcalendar этот как плагин мне пару раз ставили, сносила

Wmboard

Ночная:
Что я вижу? Кучу разных php залитых, редирект в конфиге типа

Ну если конфиг, то большая вероятность что через хостинг. Это не взлом.

 require_once(ABSPATH.'wp-content/plugins/xcalendar/xcalendar.php');

Ночная странница

Veter:
Это не взлом.

Почему ты так думаешь?

Wmboard

Интуиция

Нужно плагин посмотреть, чтобы сказать точно. Но это вряд ли взлом... Если ты удаляешь плагин, то у тебя и папки xcalendar нет и пхпешника. Они должны удалиться при удалении плагина.

Ночная странница

Не, ты не понял.

Плагин не появляется наверное в админке, по крайней мере мне при "установке" снаружи этого "плагина" доступ в админку сразу блокируется - просто нет формы входа.

Плагином я его обозвала только за то, что такая папка появляется в директории плагинов. Хочешь, пришлю, поковыряешь на досуге.

Антивирусник на него не ругается.

Просто у меня не было цели исследования, у меня была цель снести.

что я и проделывала несколько раз.

Wmboard

Нет, такой плагин существует.

Но, я сомневаюсь, что этот плагин уязвим, если он скачан с офф сайта. В конфиге нужно убрать эту строчку, на стр плагина нет такого, чтобы при установке нужно было прописывать что-то в конфиг.

Посмотреть по фтп папки, удалить ненужные. То есть, ты считаешь, что тебя взломали лишь потому, что не пускает в админку, или что? Не понял я как-то. Ты подробнее расскажи.
Да, и поищи плагинчик для защиты от XSS атак. На старых версиях у меня стоят, на новых не ставил, у тебя же новые версии вордпресс поди, а те поди не совместимы. А о какой-то версии WP мне приходили письма о уязвимости. Да, еще поставь https://lumtu.com/plaginy-dlya-wordpress/3184-plagin-zaschity-ot-vzloma-wordpress-login-lockdown.html

лишним не будет.

Ночная странница

3. Check your wp-config.php file for a very sneaky line of code (usually at the bottom of the file). This code is something along the lines of:

“require_once (ABSPATH. ‘wp-content/plugins/ xcalendar/xcalendar.php ‘);”

This line of code runs a plugin that has been installed to your WordPress site without you knowing.

4. Login to your WordPress admin panel and go to the plugins section.

You will see a new plugin present in the list called “Seo Advisor” by “Phil Smitter” with a link to the plugin author page seoadvisor.com to try and make it look genuine.

Delete this plugin and remove all files from your server.

This runs the xcalendar files.

Вот что я про него нарыла сейчас
http://www.ageneralblog.com/wordpress/2015/07/22/wordpress-hacked-with-sophisticated-hack/

Поподробнее... Да особо нечего. Какая-то зараза льет файлы в мои папки вордпресс. а я их чищу... Достало. В базе ковыряюсь... но боюсь, найти уязвимость мне не под силу, буду кого-то нанимать для этой работы.

Wmboard

This line of code runs a plugin that has been installed to your WordPress site without you knowing

Это строка работает, когда плагин был установлен без вашего ведома. Далее.

Удалить этот плагин и все файлы с вашего сервера. Проверить сайт на доп.

администраторов. Сменить своего администратора. Если конечно это взлом замаскированный под плагин.

Но сам такой плагин существует. И еще.

нужно поставить плагин блокирующий обновления.

Обязательно. И вернись на вордпресс версии 3.9.1 - 3.9.3 Я эти последними ставил.

Полет отличный.

Ночная странница

Veter:
когда плагин был установлен без вашего ведома

Так вот он и был без моего. Плагин, блокирующий обновления? Оу! Что за полезность такая?

Veter:
И вернись на вордпресс версии 3.9.1 - 3.9.3

Сделаю.

Wmboard

Не дает движку жить своей жизнью. И плагинам тоже. Сочтешь нужным обновиться, сделаешь это сама.

Ночная:
Так вот он и был без моего.

Ты же говорила что устанавливали :shok: Я думал по твоей просьбе.

Ночная странница

Veter:
Ты же говорила что устанавливали

Ну да, при взломе. Уж плагин-то я точно не буду никого просить ставить))

Veter:
Не дает движку жить своей жизнью. И плагинам тоже.
Сочтешь нужным обновиться, сделаешь это сама.

А название не подскажешь?

Wmboard

Значит я читать разучился

Ну тогда базу не ковыряй.

Посмотри по своей ссылке что надо сделать. Дополнительно смени все пароли.

После того, как.

Найди плагин блокирующий XSS атаки, поставь защиту админки, блокировщик обновлений, смени админа, смени все пароли: в админку, в панель хостинга, пароль в БД. И желательно рашкин хостинг.

Ночная странница

По ссылке все сделала. Плюс поставила iThemes Security, настраиваю. Пока тишина, о дальнейшем развитии событий сообщу. Блокировщик обновлений так и не нашла, но в этом плагине есть блокировка запуска PHP файлов из пользовательских директорий. а это то, что нужно, я думаю.

Wmboard

Ночная:
Блокировщик обновлений так и не нашла

Если надо выложу. На четверке не пробовал. На тройке работает.

Ночная странница

Veter:
На четверке не пробовал. На тройке работает.

Клади. Я опробую и отпишусь.

Ночная странница

iThemes Security - потрясающий плагин! Я теперь прямо из админки смотрю, как они безуспешно пытаются найти свои файлы (в админку копируются все подозрительные действия в виде логов), и хмыкаю, когда происходит очередная блокировка. Плагин - рекомендую.

Надо бы заняться перевести, но времени нет от слова "совсем". Спасибо за помощь и подсказки, Veter.

Льюви

Ночная:
Хочешь, пришлю, поковыряешь на досуге.

мне закинь, пожалуйста, - для коллекции... если не трудно... :rolleyet:

Ночная странница

Да о чем речь... Могу и всю остальную бяку для коллекции приложить) Сейчас куда-нибудь закину архивчик и ссылку в личку пришлю.

Wmboard

Ночная:
iThemes Security - потрясающий плагин!

Почитал

Выглядит серьезно, как нибудь попробую. Локализация кстати есть.

Ночная странница

Veter:
Локализация кстати есть

Значит, я плохо искала. Ну да ладно, мне и английская сойдет, настроила уже

Wmboard

Держи русский. Попробуй, пойдет у тебя? Там только одно слово не переводили умышленно секьюрити.
Скрытая информация :: Авторизуйтесь для просмотра »

Constantine174

Я использую гугл аунтификатор и приложение в телефон. Вообще четко работает.

Wmboard

Allex, вы что мазохист, извините конечно

Вордпресс не ломают практически. Забирайте дистрибутивы, чистите и переезжайте.

Allex1

Veter:
Allex, вы что мазохист, извините конечно

Вордпресс не ломают практически. Забирайте дистрибутивы, чистите и переезжайте.

jino.ru (мой хостер) не единственный, кто не дает нормальные логи, не занимается вирусами и возможно дырявый. В связи с чем вопрос: как не наступить на те же грабли? Подскажите, плиз.

норм.

хостинг. И ещё, jino.ru использовал около 2 -х лет.

Всё у них было ровно и стабильно, пока не начались проблемы, об изменении файлов в логах инфы нет, антивирусная защита отсутствует.

В общем, не рекомендую.

fenixon

Allex:

И ещё, jino.ru использовал около 2 -х лет. Всё у них было ровно и стабильно, пока не начались проблемы, об изменении файлов в логах инфы нет, антивирусная защита отсутствует.
В общем, не рекомендую.

насчет логов вы правы, антивирус и антиспам у них есть вроде Dr.Web копеек 30 или 40 в сутки, а в целом джино хост для начинающих, серьезным проектам там делать нечего а новичкам в самый раз, и ценовая политика у джино позволяет познавать сайтостроительство не "отваливая" кругленькую сумму хостеру.

ИМХО

Похожие темы	Дата
Envision 2.7.2 - WooCommerce WordPress-шаблон	19.10.2024, 18:10
Видеокурс WordPress 4. Пример создания блога [WP]	19.10.2024, 18:10
Видеокурс с правами перепродажи "Раздвижные панели для WordPress"	19.10.2024, 18:10
[WP] EVER V1.0.5 - CLEAN AND SIMPLE WORDPRESS THEME	19.10.2024, 18:10
MyMail v2.1.23 Rus - плагин Email рассылки для WordPresss	19.10.2024, 18:10
Chat X v2.2.3 - чат для WordPress	19.10.2024, 18:10
Курс «Дорвеи на WordPress для новичков »	19.10.2024, 18:10
Видеокурс Wordpress 4. Пример Создания Блога []	19.10.2024, 18:10
Делай Одностраничники На Вордпрессе	19.10.2024, 18:10
Конфликт плагинов, Critical Path CSS и могучая кучка г	19.10.2024, 18:10

Взлом сайта на WordPress

Allex1

Allex1

fenixon

Wmboard

Ночная странница

Wmboard

Ночная странница

Wmboard

Ночная странница

Wmboard

Ночная странница

Wmboard

Ночная странница

Wmboard

Ночная странница

Wmboard

Ночная странница

Wmboard

Ночная странница

Wmboard

Ночная странница

Wmboard

Ночная странница

Wmboard

Ночная странница

Ночная странница

Льюви

Ночная странница

Wmboard

Ночная странница

Wmboard

Constantine174

Wmboard

Allex1

fenixon

I AM

Интересно