Модератор
Юрій
(@yube)
Оба-на! Еще один с UTF-7. Сегодня уже второй. Эпидемия, однако.
А поподробней немного можно? Что за оно?
P.S. Извиняюсь, линк сразу не заметил 🙂
Спасибо, Юрий, как всегда коротко ясно и по делу 🙂 Что-то как-то часто стал сталкиватсья со взломами блогов на ВП, понятно, что тут моя вина что взломали, но все же интересно, как так получилось что на свежесозданный запрещенный к индексации блог попадает этот бот/человек, не знаю кто… =\
Модератор
Юрій
(@yube)
понятно, что тут моя вина что взломали
По большому счету, конечно, Ваша: не сделай Вы сайт, его бы не сломали 🙂 А вот что касается «малого счета» — то вопрос остается открытым.
Мне вот что интересно: экзотический UTF-7 — это что? необходимое условие для взлома, побочный эффект, последствие или «подпись» хакера?
Кодировка сменилась после того как сменил пароль, ящик и перезалил файлы шаблона twentyeleven, спустя некоторое время, т.е. по идее устранил все лазейки. Получается что злоумышленник имеет доступ каким-то образом.
Через phpmyadmin я это делал, польователь один был и остался.
—> Но тут вот какая штука — у меня опять пароль изменился и пришлось его через phpmyadmin менять снова, пароль стоял сложный, брутфорсом 100% нельзя было подобрать.
Логи https://docs.google.com/file/d/0B3ypf8Ok8hYpMHRlNzRrU0d5OGM/edit можете глянуть, это, приблизительно тот промежуток когда пароль сменился. Мой ИП 178.124.150.251.
Прошлый раз когда логи смотрел там что-то вскользь упоминалось про cron — посмотрел, вроде, пусто все в нем.
Даже и не знаю где теперь искать, подскажите на что внимание обратить… ВП и шаблоны стандартные устанавливал с офф сайта, т.е. не должно быть с ними проблем.
404.php что-то не так, антивирус аж визжит при попытке его открытия, и twentyeleven/inc/mailer.php изменен, еще и в акисмете что-то, но как всеравно ума не приложу как, после очистки это все появилось…
Если остался 404.php, то на pastebin.com закиньте..
И кстати, какой вы браузер используете?
упс, сорри, увидел )
Модератор
Юрій
(@yube)
Спасибище! Всё как на ладони: Зашел. Увидел. Наследил.
Дважды вызывался редактор плагинов. Скорее всего, в akismet уже оставлена закладка.
А зашел как к себе домой. Видать, логин/пароль у злоумышленника уже были.
Скорее всего, в akismet уже оставлена закладка
Вот это уже интересно. Если будут новости по этому Badi — плз, поделиться инфой.
Я напомню, кто не в курсе.
Так а как он зашел, если я только-только сменил пароль через phpmyadmin, пароль сложный, ящик и прочее указаны верно, т.е. ему никаких уведомлений не могло придти? Сейчас написал хостер, что доступ приостановлен, т.к. рассылал спам, лог спамеркских писем прилагается, что интересно, задействован другой домен с этого хостинга =\ Может на моей винде троян какой, хотя содержал в чистоте да и антивирус активен всегда…
Ё-мое, файлы остались, а вот пастебин пишет что он перегружен, и подождать надо…
http://pastebin.com/xRHkzV82 404.php
http://pastebin.com/6RACv37u admin.php (акисмета файл)
Ну и далее в том же духе…
Модератор
Юрій
(@yube)
Может на моей винде троян какой
Запросто.
да и антивирус активен всегда…
Проверьте другим антивирусом. Лучше в режиме LiveCD.
$default_charset = "Windows-1251"; — Не думаю, что это сделал Badi, Tunisian Hacker 🙂
Модератор
Юрій
(@yube)
Хотя, может и не троян, а с прошлого раза осталась закладка, позволяющая хакеру залогиниться и без пароля.
