Поддержка Проблемы и решения Взломали блог

  • Добрый день, был взломан сегодня блог, блог пробный, просто эксперементировал с шаблонами родными, стоял twentyeleven, ну, скорее всего был слабый пароль для блога — вот и взломали, снес шаблон, заново переставил, поставил сложный пароль проверил все файлы по фтп, вроде все ок, но! спустя какое-то время весь сайт стал отображаться кракозябрами, я вручную везде поменял кодировку, перекодировал бд — не помогло, где еще что глянуть чтоб избавиться от кракозябр? sunscript.org

Просмотр 15 ответов — с 1 по 15 (всего 22)
  • Модератор Юрий

    (@yube)

    Оба-на! Еще один с UTF-7. Сегодня уже второй. Эпидемия, однако.

    А поподробней немного можно? Что за оно?

    P.S. Извиняюсь, линк сразу не заметил 🙂

    Спасибо, Юрий, как всегда коротко ясно и по делу 🙂 Что-то как-то часто стал сталкиватсья со взломами блогов на ВП, понятно, что тут моя вина что взломали, но все же интересно, как так получилось что на свежесозданный запрещенный к индексации блог попадает этот бот/человек, не знаю кто… =\

    Модератор Юрий

    (@yube)

    понятно, что тут моя вина что взломали

    По большому счету, конечно, Ваша: не сделай Вы сайт, его бы не сломали 🙂 А вот что касается «малого счета» — то вопрос остается открытым.

    Мне вот что интересно: экзотический UTF-7 — это что? необходимое условие для взлома, побочный эффект, последствие или «подпись» хакера?

    Кодировка сменилась после того как сменил пароль, ящик и перезалил файлы шаблона twentyeleven, спустя некоторое время, т.е. по идее устранил все лазейки. Получается что злоумышленник имеет доступ каким-то образом.
    Через phpmyadmin я это делал, польователь один был и остался.

    —> Но тут вот какая штука — у меня опять пароль изменился и пришлось его через phpmyadmin менять снова, пароль стоял сложный, брутфорсом 100% нельзя было подобрать.

    Логи https://docs.google.com/file/d/0B3ypf8Ok8hYpMHRlNzRrU0d5OGM/edit можете глянуть, это, приблизительно тот промежуток когда пароль сменился. Мой ИП 178.124.150.251.
    Прошлый раз когда логи смотрел там что-то вскользь упоминалось про cron — посмотрел, вроде, пусто все в нем.

    Даже и не знаю где теперь искать, подскажите на что внимание обратить… ВП и шаблоны стандартные устанавливал с офф сайта, т.е. не должно быть с ними проблем.

    404.php что-то не так, антивирус аж визжит при попытке его открытия, и twentyeleven/inc/mailer.php изменен, еще и в акисмете что-то, но как всеравно ума не приложу как, после очистки это все появилось…

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    twentyeleven/inc/mailer.php изменен

    В дистрибутиве нет такого файла:
    http://core.trac.wordpress.org/browser/tags/3.5.1/wp-content/themes/twentyeleven/inc

    Если остался 404.php, то на pastebin.com закиньте..

    И кстати, какой вы браузер используете?
    упс, сорри, увидел )

    Модератор Юрий

    (@yube)

    Спасибище! Всё как на ладони: Зашел. Увидел. Наследил.

    Дважды вызывался редактор плагинов. Скорее всего, в akismet уже оставлена закладка.

    А зашел как к себе домой. Видать, логин/пароль у злоумышленника уже были.

    Скорее всего, в akismet уже оставлена закладка

    Вот это уже интересно. Если будут новости по этому Badi — плз, поделиться инфой.

    Я напомню, кто не в курсе.

    Так а как он зашел, если я только-только сменил пароль через phpmyadmin, пароль сложный, ящик и прочее указаны верно, т.е. ему никаких уведомлений не могло придти? Сейчас написал хостер, что доступ приостановлен, т.к. рассылал спам, лог спамеркских писем прилагается, что интересно, задействован другой домен с этого хостинга =\ Может на моей винде троян какой, хотя содержал в чистоте да и антивирус активен всегда…

    Ё-мое, файлы остались, а вот пастебин пишет что он перегружен, и подождать надо…

    http://pastebin.com/xRHkzV82 404.php
    http://pastebin.com/6RACv37u admin.php (акисмета файл)
    Ну и далее в том же духе…

    Модератор Юрий

    (@yube)

    Может на моей винде троян какой

    Запросто.

    да и антивирус активен всегда…

    Проверьте другим антивирусом. Лучше в режиме LiveCD.

    $default_charset = "Windows-1251"; — Не думаю, что это сделал Badi, Tunisian Hacker 🙂

    Модератор Юрий

    (@yube)

    Хотя, может и не троян, а с прошлого раза осталась закладка, позволяющая хакеру залогиниться и без пароля.

Просмотр 15 ответов — с 1 по 15 (всего 22)
  • Тема «Взломали блог» закрыта для новых ответов.