• Добрый день.
    Коллеги, кто-нибудь сталкивался с проблемой заливки вирусов через /wp-admin/update.php?action=upload-plugin? Хостер приводит пример лога:

    80.122.49.54 - - [11/Sep/2018:23:24:43 +0300] "GET /wp-admin/plugin-install.php?tab=upload HTTP/1.1" 200 25104 "https://my_site.ru/wp-admin/" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.3; WOW64; Trident/4.0)"
    80.122.49.54 - - [11/Sep/2018:23:24:44 +0300] "POST /wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 21622 "https://my_site.ru/wp-admin/plugin-install.php?tab=upload" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.3; WOW64; Trident/4.0)"
    80.122.49.54 - - [11/Sep/2018:23:24:45 +0300] "GET /wp-content/uploads/2018/09/accesson.php HTTP/1.1" 200 170 "https://my_site.ru/wp-admin/update.php?action=upload-plugin" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.3; WOW64; Trident/4.0)"
    80.122.49.54 - - [11/Sep/2018:23:24:45 +0300] "POST /wp-content/uploads/2018/09/accesson.php HTTP/1.1" 200 170 "https://my_site.ru/wp-content/uploads/2018/09/accesson.php" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.3; WOW64; Trident/4.0)"
    80.122.49.54 - - [11/Sep/2018:23:24:46 +0300] "POST /wp-content/uploads/2018/09/accesson.php HTTP/1.1" 200 170 "https://my_site.ru/wp-content/uploads/2018/09/accesson.php" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.3; WOW64; Trident/4.0)"

    Из логов следует, что злоумышленник получает по указанным урлам 200ок, хотя там идет вообще 302 редирект на авторизацию вордпресса, на которой до кучи сначала надо пройти http-авторизацию через htpasswd. Движок и плагины обновлены до последних версий. Пробовал выкачать сайт, удалить все вредоносные файлы (сканировал айболитом), затем переустановить движок, но заражения происходят повторно.

    • Тема изменена 6 лет назад пользователем BadgerNN.
Просмотр 11 ответов — с 1 по 11 (всего 11)
  • Модератор Юрій

    (@yube)

    Из логов следует, что злоумышленник получает по указанным урлам 200ок, хотя там идет вообще 302 редирект на авторизацию вордпресса, на которой до кучи сначала надо пройти http-авторизацию через htpasswd.

    Получается, что злоумышленник знает логины-пароли. Если бы дыра была непосредственно в update.php, не было бы смысла открывать plugin-install.php. Посмотрите по логам всю цепочку запросов с IP злоумышленника. Есть ли там wp-login.php?

    Автор BadgerNN

    (@badgernn)

    wp-login.php как я написал выше закрыт через htpasswd, т.е. по вашему злоумышленник знает и доступ к http авторизации и к админке сайта? Странно, но посомотрю.

    /wp-content/uploads/2018/09/accesson.php

    Явно видно что залит шелл.

    Что не отменяет вышесказанного.

    но заражения происходят повторно.

    Ничего странного, если используются темы/плагины с помоек/самописные/древние

    Я использую плагин безопасности https://wordpress.org/plugins/pareto-security/ , очень хороший плагин. Он во первых защищает от ботов, во вторых защищает от хакерских атак, в частности недавно была попытка атаки на файл admin-ajax.php. IP адреса источников атак заносятся в бан лист в файле htaccess. Раньше мой сайт постоянно вис из-за ботов и атак, сейчас летает.

    На всякий случай, проверьте Ваш компьютер, вирус может и через FTP попасть на сайт.

    Автор BadgerNN

    (@badgernn)

    Явно видно что залит шелл.

    Как он попадает на сайт повторно, после проверки и чистки сайта айболитом?

    На всякий случай, проверьте Ваш компьютер, вирус может и через FTP попасть на сайт.

    На компе стоит лиц Eset + дополнительно проверял сканерами др.Веб и касперского, проблем нет.

    Как он попадает на сайт повторно, после проверки и чистки сайта айболитом?

    1. Я только констатирую факт наличия непонятного файла там, где его быть не должно. Если конечно сами не залили.

    2. Айболит не панацея. Он может и не найти чего-то и зараза попасть на хостинг может многими путями. В тч и из Вашего ПК.
    К тому же айболит не чистит (и это правильно), а проверять стоит в параноидальном режиме.

    Я в свое время чистил сайт от вирусов, скачивая все файлы через ФТП, и Касперский поймал вирус на лету. Потом удалил вручную файл вируса на удаленном сервере. У Вас Есет Нод 32? На мой взгляд антивирус не очень, я пользуюсь Касперским и иногда доктор вэбом, но дело вкуса.

    alexander70, виндовые антивирусы не предназначены для поиска уязвимостей в скриптах сайтов. Да, иногда они могут что-то «поймать», но могут и поломать/заблокировать легитимные файлы с их «лечением».
    В общем, это не то средство.

    Как он попадает на сайт повторно, после проверки и чистки сайта айболитом?

    потому что чистить надо полной переустановкой.
    это удаляем по ftp папочки движка (осторожно с wp-content) и заливаем из дистрибутива.
    так же с плагинами.

    ставим wordpress file monitor, мониторим, куда заливают шелл. проверяем в логах залитый файл на предмет ip — смотрим куда еще этот ip обращался.

    А может быть такое, что хостинг дырявый и вирусы могли к вам попасть с других аккаунтов хостинга. На годэди было раньше такое, потом увидел в новостях про атаку на годэди. Если после исправления вашего сайта такое повторится, может и в хостинге дело.

Просмотр 11 ответов — с 1 по 11 (всего 11)
  • Тема «Вирусы /wp-admin/update.php?action=upload-plugin» закрыта для новых ответов.