Поддержка Разное Проверьте корень сайта на wp-xmlrpc.php

  • Привет.

    Проверьте свои сайты — в корне файла вчера появился файл wp-xmlrpc.php (не xmlrpc.php, а именно wp-xmlrpc.php) — это вредонос!

    Содержимое такое https://pastebin.com/5Rs9RseX

    На моем одном появился такой файл. WordPress 5.3.2 стоял.

    • Тема изменена 2 года, 3 месяца назад пользователем Yui. Причина: в разное
Просмотр 13 ответов — с 1 по 13 (всего 13)
  • Otshelnik-Fm, привет.

    Таких вариаций очень много с префиксами wp-*, тем более шеллов) Удалось выяснить, через что залились?

    в корне файла вчера появился файл

    🙂

    Знаю — но с 2009 года я лично ниразу не цеплял такое (#noWarez). Сейчас прилетело не пойми откуда. Хотя с причинами взломов — знаю как происходит.

    Я задал вопрос хостеру. Предупредил чтоб он проверил сайты клиентов. Ждем что ответят.

    Многие пользователи в сети сообщают что именно вчера у них пошла загрузка wp-xmlrpc.php

    Otshelnik-Fm точно все описал!
    Пока мною замечен только такой wp-xmlrpc.php и не только мной, в смысле на разных сайтах и хостингах.
    Через что залили, я не могу выяснить.

    Модератор Yui

    (@fierevere)

    ゆい

    Может список плагинов и тем (всех) установленных приведете ?
    Поищем общее, старое, необновляемое ?

    All In One SEO Pack
    AMP
    Cyr to Lat enhanced
    Democracy Poll
    Fast Velocity Minify
    Limit Login Attempts Reloaded
    Mihdan: Mail.ru Pulse Feed
    No Category Base (WPML)
    SendPulse Free Web Push
    WebP Express
    WP Super Cache
    WP-Recall
    WPS Hide Login
    Yandex.News Feed by Teplitsa

    Но думаю у всех наборчики очень разные, так как вижу набирается народ с этой проблемкой .

    • Ответ изменён 2 года, 3 месяца назад пользователем Yworld.
    • Ответ изменён 2 года, 3 месяца назад пользователем Yworld.
    • Ответ изменён 2 года, 3 месяца назад пользователем Yworld.
    Модератор Yui

    (@fierevere)

    ゆい

    от себя могу подтведить факт множества запросов к данному файлу в логах доступа, по отдельным сайтам.
    самого файла нет.

    • Ответ изменён 2 года, 3 месяца назад пользователем Yui.
    Модератор Юрий

    (@yube)

    Limit Login Attempts Reloaded

    Что-то про него писали, но, кажется, не фатальное.

    @fierevere А вы как-то прикрываете корневую или важные файлы через .htaccess?

    Модератор Yui

    (@fierevere)

    ゆい

    не особенно,
    nginx, php-fpm, есть базовый Web application firewall, прикрывающий от достаточно большого количества неприятностей.

    из плагинов защиты — wp-cerber, хотя возможно где-то и остался забытым limit login attempts (без reloaded), старый еще

    @fierevere, понял вас, спасибо.

    Хостер ответил что только у одного клиента такой файл — так что взлом панели маловероятен — пестрило бы у всех.

    Итак:
    WordPress 5.3.2 был.
    ВП тема самописная.
    Плагины:
    GD Mail Queue 3.4 (обновил до актуального 3.4.2)
    Ограничение попыток авторизации 1.7.1 (эх. старичок — да)
    WP-Recall 16.18.7

    Проверил. Ни на одном сайте файла нет. Все сайты расположены в кастомных директориях. типа /public_html/какая-то_директория/

    Нашли причину — уязвимость в WP-Recall.

    Атакующий смог получить доступ к загрузке дополнения (через ajax — из фронтенда — банальная проверка прав на выполнение).

    В версии 16.18.15 плагина эта уязвимость была закрыта. Просьба всем срочно обновиться и проверить в корне сайта (там где .htaccess файл и robots.txt) наличие файла wp-xmlrpc.php — удалить его.
    И по пути: ваш-сайт/wp-content/wp-recall/add-on/wpstaf/wpstaf.php папку /wpstaf/ стоит удалить (собственно шагом 1-м загружался сюда и потом в корне создавался файл)

Просмотр 13 ответов — с 1 по 13 (всего 13)
  • Тема «Проверьте корень сайта на wp-xmlrpc.php» закрыта для новых ответов.