anonymized-14765447
(@anonymized-14765447)
Otshelnik-Fm, привет.
Таких вариаций очень много с префиксами wp-*, тем более шеллов) Удалось выяснить, через что залились?
в корне файла вчера появился файл
🙂
Знаю — но с 2009 года я лично ниразу не цеплял такое (#noWarez). Сейчас прилетело не пойми откуда. Хотя с причинами взломов — знаю как происходит.
Я задал вопрос хостеру. Предупредил чтоб он проверил сайты клиентов. Ждем что ответят.
Многие пользователи в сети сообщают что именно вчера у них пошла загрузка wp-xmlrpc.php
Otshelnik-Fm точно все описал!
Пока мною замечен только такой wp-xmlrpc.php и не только мной, в смысле на разных сайтах и хостингах.
Через что залили, я не могу выяснить.
Модератор
Yui
(@fierevere)
永子
Может список плагинов и тем (всех) установленных приведете ?
Поищем общее, старое, необновляемое ?
All In One SEO Pack
AMP
Cyr to Lat enhanced
Democracy Poll
Fast Velocity Minify
Limit Login Attempts Reloaded
Mihdan: Mail.ru Pulse Feed
No Category Base (WPML)
SendPulse Free Web Push
WebP Express
WP Super Cache
WP-Recall
WPS Hide Login
Yandex.News Feed by Teplitsa
Но думаю у всех наборчики очень разные, так как вижу набирается народ с этой проблемкой .
-
Ответ изменён 4 года назад пользователем Yworld.
-
Ответ изменён 4 года назад пользователем Yworld.
-
Ответ изменён 4 года назад пользователем Yworld.
Модератор
Yui
(@fierevere)
永子
от себя могу подтведить факт множества запросов к данному файлу в логах доступа, по отдельным сайтам.
самого файла нет.
-
Ответ изменён 4 года назад пользователем Yui.
Модератор
Yuri
(@yube)
Limit Login Attempts Reloaded
Что-то про него писали, но, кажется, не фатальное.
@fierevere А вы как-то прикрываете корневую или важные файлы через .htaccess?
Модератор
Yui
(@fierevere)
永子
не особенно,
nginx, php-fpm, есть базовый Web application firewall, прикрывающий от достаточно большого количества неприятностей.
из плагинов защиты — wp-cerber, хотя возможно где-то и остался забытым limit login attempts (без reloaded), старый еще
@fierevere, понял вас, спасибо.
Хостер ответил что только у одного клиента такой файл — так что взлом панели маловероятен — пестрило бы у всех.
Итак:
WordPress 5.3.2 был.
ВП тема самописная.
Плагины:
GD Mail Queue 3.4 (обновил до актуального 3.4.2)
Ограничение попыток авторизации 1.7.1 (эх. старичок — да)
WP-Recall 16.18.7
Проверил. Ни на одном сайте файла нет. Все сайты расположены в кастомных директориях. типа /public_html/какая-то_директория/
Нашли причину — уязвимость в WP-Recall.
Атакующий смог получить доступ к загрузке дополнения (через ajax — из фронтенда — банальная проверка прав на выполнение).
В версии 16.18.15 плагина эта уязвимость была закрыта. Просьба всем срочно обновиться и проверить в корне сайта (там где .htaccess файл и robots.txt) наличие файла wp-xmlrpc.php
— удалить его.
И по пути: ваш-сайт/wp-content/wp-recall/add-on/wpstaf/wpstaf.php
папку /wpstaf/
стоит удалить (собственно шагом 1-м загружался сюда и потом в корне создавался файл)