Вирусы /wp-admin/update.php?action=upload-plugin
-
Добрый день.
Коллеги, кто-нибудь сталкивался с проблемой заливки вирусов через /wp-admin/update.php?action=upload-plugin? Хостер приводит пример лога:80.122.49.54 - - [11/Sep/2018:23:24:43 +0300] "GET /wp-admin/plugin-install.php?tab=upload HTTP/1.1" 200 25104 "https://my_site.ru/wp-admin/" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.3; WOW64; Trident/4.0)" 80.122.49.54 - - [11/Sep/2018:23:24:44 +0300] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 21622 "https://my_site.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.3; WOW64; Trident/4.0)" 80.122.49.54 - - [11/Sep/2018:23:24:45 +0300] "GET /wp-content/uploads/2018/09/accesson.php HTTP/1.1" 200 170 "https://my_site.ru/wp-admin/update.php?action=upload-plugin" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.3; WOW64; Trident/4.0)" 80.122.49.54 - - [11/Sep/2018:23:24:45 +0300] "POST /wp-content/uploads/2018/09/accesson.php HTTP/1.1" 200 170 "https://my_site.ru/wp-content/uploads/2018/09/accesson.php" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.3; WOW64; Trident/4.0)" 80.122.49.54 - - [11/Sep/2018:23:24:46 +0300] "POST /wp-content/uploads/2018/09/accesson.php HTTP/1.1" 200 170 "https://my_site.ru/wp-content/uploads/2018/09/accesson.php" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.3; WOW64; Trident/4.0)"
Из логов следует, что злоумышленник получает по указанным урлам 200ок, хотя там идет вообще 302 редирект на авторизацию вордпресса, на которой до кучи сначала надо пройти http-авторизацию через htpasswd. Движок и плагины обновлены до последних версий. Пробовал выкачать сайт, удалить все вредоносные файлы (сканировал айболитом), затем переустановить движок, но заражения происходят повторно.
Просмотр 11 ответов — с 1 по 11 (всего 11)
Просмотр 11 ответов — с 1 по 11 (всего 11)
- Тема «Вирусы /wp-admin/update.php?action=upload-plugin» закрыта для новых ответов.