Взломали сервер, генерируют картинки
-
в папку uploads
*забыл поставить галочку, что тема не содержит вопроса
Многобукв…
Всем привет, тема больше для отчетов, но от полезных советов не откажусь. Возможно кто то из сообщества сталкивался с этим… Предыдущая тема https://ru.wordpress.org/support/topic/запрет-загрузки-файлов-png-формате/ но решил создать новую с правильным названием…
Кратко о проблеме. Изначально думал, что взломали один сайт (вроде бы так оно и было, но получили доступ к другим сайтам)… В папке uploads (если настройки в WP по годам и месяцам, то задевается последняя папка) генерируются рандомные картинки, все с градиентом, имеют рандомные названия w1qbz6k1be96sfvaxqrqw5qm455f-1738950872.8919 mzr7xzoq5n3y9szzsukhanm28bfr81uk-1738950873.7641 (png и jpeg формат, png намного больше), всех объединяет часть названия 173895, но как понимаю оно измениться в большую сторону, когда картинок будет больше. Название первой картинки generated_image-1738627627.6506-1738950481.2816
Проблема была пару дней с одним сайтом (временно решил сменой прав на папку куда генерились картинки), но сегодня увидел, что переключились на другой на том же сервере, при этом на первом стало все нормально (знаю, что не решает проблему). Эта проблема за короткое время переполняет диск…
Что делал:
- Изменение прав на папку (запрет на папку 444)
- Проверка сайта всеми известными плагинами антивирусов
- Запуск на сервере антивиря ImunifyAV — пара суток все сайты «в очереди»
- Ручная проверка файлов
Результат — в папке uploads была папка forminator (стоял одноименный плагин), в папке была папка temp — она первая была и проблемной (заполняла почти 40гб) — удалена, плагин удален, генерация картинок переключилась на uploads. Файлы сайта чистые, по пути var/www/www-root/data/mod-tmp/ нашел два файлы phpLUKeyZ phpzxGYe5 без привязки к формату, открыл через блокнот, понял, что png добавил формат к файлам, посмотрел — пара картинок с градиентом, поиск по файлам с запросом в виде phpLUKeyZ — ни чего не дал.
Сопутствующая проблема — разрослись бинарные логи MySQL во время атаки на сайт, была нагрузка на процессор (поддержка таймвеба пока ответила, она уже пропала, это и естественно… сидят вымогатели, которым нет интереса помогать, при переполнении диска порекомендовали купить дисковое пространство 😂).
8.02 ~5 утра по Мскве — на втором сайте отключил почти все плагины, генерация картинок прекратилась! Так же установлен плагин Forminator, его отключение и включение ни как не влияет на спам картинок.
По пути /var/www/www-root/data/mod-tmp/ найдены файлы phpGOEA3D и phpwhlju2 без привязки к формату, но это так же png, файл phpGOEA3D исчез, при скачивании папки архивом, он там есть. + два путых файлы sess_1qortm914fihs5oric6cgqv7cq и sess_e2usnushi9hvp33dftjdh3g9q6. Только заметил — Файлы генерятся и удаляются под разными именами
Так же в логах много запросов такого формата -ipшник — [08/Feb/2025:05:42:43 +0300] «POST /wp-admin/admin-ajax.php HTTP/1.0» 200 1031 «-» «node-fetch»
🚨Нашел плагин wpDiscuz — при его отключении генерация прекращается!!!🚨
Работаю дальше в поиске проблемы пока в ручном режиме, т.к. всякие серверные и консольные команды не понимаю. Нанять умного человека для решения проблемы — реальный выход из ситуации…. если были бы деньги
Буду рад советам, рекомендациям куда копать и где смотреть.
Спасибо 𝗥𝟯𝗡𝟬 за советы в предыдущей теме!
- Для ответа на тему необходимо авторизоваться.