Поддержка Проблемы и решения Целостность системных файлов в папке wp-includes

  • Решено oldpepper

    (@oldpepper)


    Всем добрый вечер.
    Надеюсь на помощь модераторов.
    Один из моих сайтов попал в поле зрения хакеров, которые раскидывают скрипты фишинга.
    Благодаря вовремя полученному сообщению, я нашел внедренный скрипт и благополучно его удалил.
    Выполнил все необходимые действия по проверке сайта. Сейчас качаю на компьютер всю директорию public_html, в которой — 62 папки WordPress.
    В ходе перекачки папки паблик мой интивирусник «ругнулся» на файл, который лежит в папке /wp-includes. Имя файла — class-wp-ssh.php
    Версия WordPress — 3.3.1. Посмотрел файлы инсталляции, чтобы сравнить, и увидел, что у меня в папке файлов с именем class.wp* лежит 12 штук, в системной папке WordPress v.3.3.1. таких файлов — всего 8 штук.
    По именам перечислять не буду.
    1. Хочу задать вопрос: те 4 файла, которые у меня оказались лишними, имеют отношение к системным файлам WordPress?
    2. Могли эти файлы быть созданы уже в ходе работы системы 3.1.1 WP на сайте или не могли?
    3. Эти четыре файла с именами в начале — class-wp-… и так далее — могут иметь отношение к взлому сайта хакерами?
    Буду благодарен за любой ответ, который поможет разобраться.

Просмотр 2 ответов — с 1 по 2 (всего 2)
  • Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    Хочу задать вопрос: те 4 файла, которые у меня оказались лишними, имеют отношение к системным файлам WordPress?

    Восемь файлов начинаются с class-wp, а ещё три — с class.wp. Всего в дистрибутиве WordPress 3.3.1 таких файлов 11:

    class-wp.php
    class-wp-admin-bar.php
    class-wp-ajax-response.php
    class-wp-editor.php
    class-wp-error.php
    class-wp-http-ixr-client.php
    class-wp-walker.php
    class-wp-xmlrpc-server.php
    class.wp-dependencies.php
    class.wp-scripts.php
    class.wp-styles.php

    Думаю, лишним является упомянутый вами class-wp-ssh.php. В WordPress такого файла никогда не было.

    Могли эти файлы быть созданы уже в ходе работы системы 3.1.1 WP на сайте или не могли?

    Самим WordPress — не могли.

    Эти четыре файла с именами в начале — class-wp-… и так далее — могут иметь отношение к взлому сайта хакерами?

    class-wp-ssh.php, скорее всего, имеет прямое отношение.

    Сергей, спасибо за подробное разъяснение.
    Вчера консультировался с саппортом хостинга, они подсказали мне, что «дыра» вероятнее всего была в старой версии скрипта thimthumb.php.
    Я обновил скрипт до последней версии — 2.8.10.
    В течение двух дней слежу за журналом сервера, вижу, что ко мне продолжают идти посетители (в основном — Латинская Америка). В журнале лежат такого рода записи:
    190.202.102.109 — — [02/Apr/2012:16:05:22 +0300] «GET /noticia/index.php HTTP/1.0» 200 652 «http://36ohk6dgmcd1n-c.c.yom.mail.yahoo.net/om/api/1.0/openmail.app.invoke/36ohk6dgmcd1n/10/1.0.35/e1/es-US/view.html/0» «Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7»
    Ссылка с именем — notisicia — это папка с удаленным мной скриптом фишинга.
    Знаю, что был также на сервере взломан почтовый аккаунт и оттуда было отправлено более 500 почтовых сообщений.
    Догадываюсь, что эти сообщения журнала — логи входа посетителей по поддельным страницам для ввода Логина и Пароля.
    Практически все указанные IP я блокировал через плагин WP-Ban, и на странице сообщения через этот плагин выложил всем посетителям предупреждение о взломе сайта и атаке фишинга.
    Что можно еще сделать чтобы остановить этих посетителей?

Просмотр 2 ответов — с 1 по 2 (всего 2)
  • Тема «Целостность системных файлов в папке wp-includes» закрыта для новых ответов.