Поддержка Поиск специалистов Хакнули WP!!

Хакнули WP!!

  • metronom

    (@metronom)


    11 лет, 7 месяцев назад

    Здравствуйте уважаемые!
    Все таки заведу новую тему, похожих симптомов нигде не обнаружил.
    Весьма надеюсь на квалифицированную помощь, не безвозмездно, вопрос для меня серьезный, завязана работа.

    Да и вообще так может пострадать каждый, думаю многим будет полезно.

    Ничего не обновлял, стояла версия 3.4.1 в один прекрасный день понял что хакнули сайтег, появилась новая запись «фотоархив» Обалденное фото на сайте http:// muglas . ru ссылка вредоносная, блокируется антивирем. Вероятный результат действий злоумышленника не могу попасть в админку. При вводе админских лог пасс ничего не происходит, остается пустое окно wp-login.
    Пароль не восстанавливает, не регистрирует, комментарии не оставляет, мертвяк вообщем ((

    Через myPhp изменил юзера, результата 0
    Обновил wp через хост панель движок wp — 0

    Хостер дал инфу что была некая активность:

    В выходные вижу следующую активность:

    #/home/vsapru/data/logs# cat vsap.ru.access.log | grep 01/Sep | grep admin
94.153.11.43 - - [01/Sep/2012:17:22:55 +0400] "GET /wp-admin/++++++++++++++++++++++++++++++++++++++++++Result:+chosen+nickname+%22ExomiAporilip%22;+registered+%28registering+only+mode+is+ON%29; HTTP/1.0" 404 341 "http://vsap.ru/wp-admin/++++++++++++++++++++++++++++++++++++++++++Result:+chosen+nickname+%22ExomiAporilip%22;+registered+%28registering+only+mode+is+ON%29;" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/20100101 Firefox/13.0"
#/home/vsapru/data/logs# cat vsap.ru.access.log | grep 02/Sep | grep admin
213.186.119.144 - - [02/Sep/2012:11:10:26 +0400] "GET /wp-admin/ HTTP/1.0" 302 - "-" "Mozilla/5.0 (compatible; AhrefsBot/3.1; +http://ahrefs.com/robot/)"
213.186.119.136 - - [02/Sep/2012:11:44:11 +0400] "GET /wp-login.php?redirect_to=http%3A%2F%2Fvsap.ru%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 232 "-" "Mozilla/5.0 (compatible; AhrefsBot/3.1; +http://ahrefs.com/robot/)"

    разом полегло восемь блогов по одному сценарию, парочка осталась жить, успел ограничить доступ к ним, работа стоит уже третий день, из индекса скоро выкинут.
    помогите советом или действием, с меня благодарность.
    один из пораженных http://vsap.ru
    один из выживших http://transinert.ru, зашел в админку, но как оказалось тоже где то собака порылась, при редактировании правки не сохраняются, комментарии не добавляются…

    Заранее спасибо за посильный вклад в помощь.

    log: wphelp
    pas: 123456

Просмотр 11 ответов — с 1 по 11 (всего 11)
  • wpuser

    (@wp-userphp)

    11 лет, 7 месяцев назад

    log: ***
    pas: ***

    Ай, красава! 🙂 Ты не понимаешь, что ты на весь интернет открыл доступы? И вот уже как минимум 2 часа любой желающий может там похозяйничать.

    не безвозмездно,

    С этим сюда. Настоятельно рекомендую сразу оглашать перечень нужных работ и размер этой самой «небезвозмездности».

    Автор metronom

    (@metronom)

    11 лет, 7 месяцев назад

    Да не, я не думаю что на этом форуме люди будут просто так пакостить, такто тема на контроле, спасибо.

    Автор metronom

    (@metronom)

    11 лет, 7 месяцев назад

    Бюджет на правку, доработку 50тр

    Автор metronom

    (@metronom)

    11 лет, 7 месяцев назад

    понимаю, пятница, но желающих помочь нет?

    Автор metronom

    (@metronom)

    11 лет, 7 месяцев назад

    исправить не удалось, из возможных причин нашел лишь одну. Если включить режим отладки wordpress, то в wp-login.php показывает много нотисов и пару ворнингов, а конкретно:

    Notice: wp_enqueue_style was called incorrectly. Scripts and styles should not be registered or enqueued until the wp_enqueue_scripts, admin_enqueue_scripts, or init hooks. Please see Debugging in WordPress for more information. (This message was added in version 3.3.) in /home/vsapru/data/http://www.vsap.ru/wp-includes/functions.php on line 2748
Notice: Use of undefined constant autoplug_add_before_post - assumed 'autoplug_add_before_post' in /home/vsapru/data/http://www.vsap.ru/wp-content/plugins/automatic-plugins/automatic-plugins.php on line 268
Notice: Use of undefined constant autoplug_add_before_loop - assumed 'autoplug_add_before_loop' in /home/vsapru/data/http://www.vsap.ru/wp-content/plugins/automatic-plugins/automatic-plugins.php on line 269
Notice: Use of undefined constant autoplug_add_after_loop - assumed 'autoplug_add_after_loop' in /home/vsapru/data/http://www.vsap.ru/wp-content/plugins/automatic-plugins/automatic-plugins.php on line 270
Notice: Use of undefined constant autoplug_add_after_post - assumed 'autoplug_add_after_post' in /home/vsapru/data/http://www.vsap.ru/wp-content/plugins/automatic-plugins/automatic-plugins.php on line 271
Notice: wp_register_script was called incorrectly. Scripts and styles should not be registered or enqueued until the wp_enqueue_scripts, admin_enqueue_scripts, or init hooks. Please see Debugging in WordPress for more information. (This message was added in version 3.3.) in /home/vsapru/data/http://www.vsap.ru/wp-includes/functions.php on line 2748
Notice: registration.php is deprecated since version 3.1 with no alternative available. This file no longer needs to be included. in /home/vsapru/data/http://www.vsap.ru/wp-includes/functions.php on line 2670
Notice: Undefined index: action in /home/vsapru/data/http://www.vsap.ru/wp-content/plugins/wordpress-thread-comment/wp-thread-comment.php on line 372
Notice: Undefined index: memory_limit in /home/vsapru/data/http://www.vsap.ru/wp-content/plugins/wordpress-thread-comment/wp-thread-comment.php on line 391
Notice: Undefined index: ws_plugin__qcache_menu_pages_css in /home/vsapru/data/http://www.vsap.ru/wp-content/plugins/quick-cache/includes/classes/admin-css-js.inc.php on line 20
Notice: Undefined index: ws_plugin__qcache_menu_pages_js in /home/vsapru/data/http://www.vsap.ru/wp-content/plugins/quick-cache/includes/classes/admin-css-js.inc.php on line 28
Notice: Undefined index: solo-comment-subscribe in /home/vsapru/data/http://www.vsap.ru/wp-content/plugins/subscribe-to-comments.php(852) : runtime-created function on line 1
Notice: Функция load_plugin_textdomain вызвана с аргументом, который считается устаревшим с версии 2.7. Альтернативы не предусмотрено. in /home/vsapru/data/http://www.vsap.ru/wp-includes/functions.php on line 2714
Warning: Cannot modify header information - headers already sent by (output started at /home/vsapru/data/http://www.vsap.ru/wp-includes/functions.php:2748) in /home/vsapru/data/http://www.vsap.ru/wp-login.php on line 301
Warning: Cannot modify header information - headers already sent by (output started at /home/vsapru/data/http://www.vsap.ru/wp-includes/functions.php:2748) in /home/vsapru/data/http://www.vsap.ru/wp-login.php on line 310

    Включить его сами и увидеть данные сообщения вы можете в wp-config.php строчкой define(‘WP_DEBUG’, true); (В данный момент я ее там оставил в закомментированном виде).
    Так же пытался полностью восстановить директорию домена из бэкапа за 01.09, это так же не помогло, значит дело не в измененных файлах. Перебрал множество вариантов решения из поисковика, но ничего не помогло. Файлы сейчас не изменены, откатил их к состоянию до начала моих экспериментов.

    Atrax

    (@atrax)

    Ethical engineer

    11 лет, 7 месяцев назад

    Прямо таки напрашивается отключение плагинов и путем исключение определение источника заразы.

    Автор metronom

    (@metronom)

    11 лет, 7 месяцев назад

    отключать методом удаления с хоста?

    Автор metronom

    (@metronom)

    11 лет, 7 месяцев назад

    Насторожило..

    при установке чистого вордпресса в очищенный домен hazardvoltage.ru в новую базу vsapru_test, на шаге2 где нужно указать название блога и мыло, пишу ящик, а система его не воспринимает и говорит опять что нужно указать емаил, как будто его не указывал !!!! что ето?

    ОШИБКА: вы должны указать адрес e-mail.

    Название сайта
    Имя пользователя
    Имя пользователя может содержать только латинские буквы, пробелы, подчёркивания, дефисы, точки и символ @.
    Пароль, дважды
    Если вы оставите это поле пустым, пароль будет создан автоматически.

    Индикатор надёжности
    Подсказка: Пароль должен состоять как минимум из семи символов. Чтобы сделать его надёжнее, используйте буквы верхнего и нижнего регистра, числа и символы наподобие ! » ? $ % ^ & ).
    Ваш e-mail
    Внимательно проверьте адрес электронной почты, перед тем как продолжить.
    Приватность Разрешить поисковым системам индексировать сайт.

    Автор metronom

    (@metronom)

    11 лет, 7 месяцев назад

    mr.Atrax, может дать логи поковыряться?

    Atrax

    (@atrax)

    Ethical engineer

    11 лет, 7 месяцев назад

    Хотя бы переименованием.
    Нет, я пас.
    На работе совершенно ни на что больше быстрых комментариев времени нет.

    Reyhs

    (@reyhs)

    11 лет, 6 месяцев назад

    utg@mail.ru

Просмотр 11 ответов — с 1 по 11 (всего 11)
  • Тема «Хакнули WP!!» закрыта для новых ответов.

Просмотр