взломали wordpress

**Revenant** · 30.07.2016 16:41

С таким еще ни разу не сталкивался. На самом сайте ничего стремного не появилось, но появилось масса страниц, которых не было на сайте (как дорвеи, но это просто пдф-файлы). В htaccess файле правок нет, в index.php нет каких-то новых записей, входов на фтп кроме моих не было. Обновлял сам wordpress, эти страницы начинают отдавать 404, но через какое-то время снова начинают работать (через день походу)
Пример страницы

5

http://huawei-ascend.ru/Heiligabend-explodiert-der-Rinderstall--Unerwartet--ironisch--bitterboese---so-kann-Weihnachten-sein-.pdf

[свернуть]

если с мобилок заходить, то сыпится всякое говно на установку, которое подозреваю смски отправляет.

как найти дыру?

**garhar** · 31.07.2016 01:10

Заметил на вашем сайте, что в разделе "чехлы", не работают кнопки "купить" (адмитад)

**ruprogon** · 31.07.2016 01:25

Ничего себе. А какой версии WP?

**HADAJIb** · 31.07.2016 01:32

проверяйте плаги в ВП, так как хватает дырявых, а так похоже на разновидность дорвеев с пдф. Часто всего прячут через base64. Ещё как варик может тема скачана с пабл ресурса в котором зашиты шелы.

**AsviS** · 31.07.2016 03:10

а логи апача что говорят??? в основном там можно найти куда юзер лазил

**Гидеон** · 01.08.2016 23:57

Сообщение от Revenant

как найти дыру?

Прочекайте блог скриптом ai-bolit. Он покажет взломанные файлы, вам останется их почистить. Затем обновите пароли (на ftp и mysql), проверьте права на папки и файлы. Ну и вдогонку можно поставить модули проверяющие целостность файлов wp. Ну и естественно, что надо регулярно обновлять блог и все установленные плагины.

p.s. ну и само собой почистить .htaccess

**Revenant** · 02.08.2016 12:22

AsviS,логов апача нет, обычный шаред. логи есть по домену, но там ничего интересного.

garhar да это старый гс, которым я уже год не занимаюсь, взломали три сайта на wp из 7 на хостинге. этот привел как пример.

Ничего себе. А какой версии WP?самой последней, использую в среднем 3-5 плагинов на сайт. на одном сайте залили код в плагин tiny mce advanced, на другом в wp-seo, в третьем no external link.

Сообщение от Гидеон

Прочекайте блог скриптом ai-bolit. Он покажет взломанные файлы, вам останется их почистить.

да, нужно будет попробовать.

отключал плагины, переустанавливал из админки без сноса (но видно придется сносить), поменял доступы к фтп и панели управления, снес админку wp )) но бойня продолжается

вредоносный код появляется на сайте в течении нескольких часов. очевидно, где-то залит бекдор. эти сайты не представляют для меня большой ценности, поэтому пока чисто по стебу поставил атрибуты через панель на папку 000 ))) с этим вредоносным кодом.

**Coder** · 02.08.2016 13:10

Revenant, посмотрите:
Удалить вирус с сайта самостоятельно _http://coderhs.com/archive/delete_virus

**Revenant** · 04.08.2016 20:03

по итогу сначала пролечил манулом (антивирус от яндекса), но все равно на сайте появлялись бредостраницы, потом пролечил айболитом (что круто, появилась десктопная версия, быстро и удобно), пока тихо

	30.07.2016 16:41 #1
Revenant Опытный Регистрация: 27.09.2010 Сообщений: 286 Репутация: 30 Webmoney BL: ?	С таким еще ни разу не сталкивался. На самом сайте ничего стремного не появилось, но появилось масса страниц, которых не было на сайте (как дорвеи, но это просто пдф-файлы). В htaccess файле правок нет, в index.php нет каких-то новых записей, входов на фтп кроме моих не было. Обновлял сам wordpress, эти страницы начинают отдавать 404, но через какое-то время снова начинают работать (через день походу) Пример страницы 5 http://huawei-ascend.ru/Heiligabend-explodiert-der-Rinderstall--Unerwartet--ironisch--bitterboese---so-kann-Weihnachten-sein-.pdf [свернуть] если с мобилок заходить, то сыпится всякое говно на установку, которое подозреваю смски отправляет. как найти дыру? Последний раз редактировалось Revenant; 30.07.2016 в 16:46.
0 Revenant

	31.07.2016 01:10 #2
garhar Опытный Регистрация: 13.05.2015 Сообщений: 276 Репутация: 33	Заметил на вашем сайте, что в разделе "чехлы", не работают кнопки "купить" (адмитад)
0 garhar

	31.07.2016 01:25 #3
ruprogon Дипломник Регистрация: 29.01.2016 Сообщений: 238 Репутация: 20 Webmoney BL: ?	Ничего себе. А какой версии WP? Статейный прогон по чистой базе
0 ruprogon

	31.07.2016 01:32 #4
HADAJIb Дипломник Регистрация: 17.08.2014 Сообщений: 193 Репутация: 54 Webmoney BL: ?	проверяйте плаги в ВП, так как хватает дырявых, а так похоже на разновидность дорвеев с пдф. Часто всего прячут через base64. Ещё как варик может тема скачана с пабл ресурса в котором зашиты шелы.
0 HADAJIb

	31.07.2016 03:10 #5
AsviS Дипломник Регистрация: 26.09.2013 Сообщений: 109 Репутация: 11 Webmoney BL: ?	а логи апача что говорят??? в основном там можно найти куда юзер лазил
0 AsviS

взломали wordpress

Опции темы

5

Тэги топика:

Похожие темы

Взломали сайт (wordpress), нужна помощь

Мои блоги на Wordpress взломали

Взломали

Взломали ЯД

взломали ftp

Тем:

Сообщений:

Пользователей:

Сейчас на сайте:

Вход

Сайт

Разделы

Прочее

Следите за нами

Витрина ссылок

У нас проходит

У кого попросить инвайт?

Золотые темы форума

Последние новости

Популярные темы

Информеры

	01.08.2016 23:57 #6
Гидеон Новичок Регистрация: 14.04.2011 Сообщений: 7 Репутация: 10	Сообщение от Revenant как найти дыру? Прочекайте блог скриптом ai-bolit. Он покажет взломанные файлы, вам останется их почистить. Затем обновите пароли (на ftp и mysql), проверьте права на папки и файлы. Ну и вдогонку можно поставить модули проверяющие целостность файлов wp. Ну и естественно, что надо регулярно обновлять блог и все установленные плагины. p.s. ну и само собой почистить .htaccess Последний раз редактировалось Гидеон; 01.08.2016 в 23:59.
0 Гидеон

	02.08.2016 12:22 #7
Revenant Опытный Регистрация: 27.09.2010 Сообщений: 286 Репутация: 30 Webmoney BL: ?	AsviS,логов апача нет, обычный шаред. логи есть по домену, но там ничего интересного. garhar да это старый гс, которым я уже год не занимаюсь, взломали три сайта на wp из 7 на хостинге. этот привел как пример. Ничего себе. А какой версии WP?самой последней, использую в среднем 3-5 плагинов на сайт. на одном сайте залили код в плагин tiny mce advanced, на другом в wp-seo, в третьем no external link. Сообщение от Гидеон Прочекайте блог скриптом ai-bolit. Он покажет взломанные файлы, вам останется их почистить. да, нужно будет попробовать. отключал плагины, переустанавливал из админки без сноса (но видно придется сносить), поменял доступы к фтп и панели управления, снес админку wp )) но бойня продолжается вредоносный код появляется на сайте в течении нескольких часов. очевидно, где-то залит бекдор. эти сайты не представляют для меня большой ценности, поэтому пока чисто по стебу поставил атрибуты через панель на папку 000 ))) с этим вредоносным кодом.
0 Revenant

	02.08.2016 13:10 #8
Coder Quae res omnia Регистрация: 29.01.2015 Сообщений: 825 Репутация: 303	Revenant, посмотрите: Удалить вирус с сайта самостоятельно _http://coderhs.com/archive/delete_virus ✓ Проверенные скрипты и полезности для сайта ✓ Сервис временных ссылок
0 Coder

	04.08.2016 20:03 #9
Revenant Опытный Регистрация: 27.09.2010 Сообщений: 286 Репутация: 30 Webmoney BL: ?	по итогу сначала пролечил манулом (антивирус от яндекса), но все равно на сайте появлялись бредостраницы, потом пролечил айболитом (что круто, появилась десктопная версия, быстро и удобно), пока тихо
0 Revenant

Темы	Раздел	Ответов	Последний пост
Взломали сайт (wordpress), нужна помощь	Другая работа	6	31.08.2015 18:06
Мои блоги на Wordpress взломали	WordPress	27	23.10.2013 02:07
Взломали	Вопросы от новичков	12	08.08.2013 21:47
Взломали ЯД	Безопасность в сети	18	16.10.2012 01:41
взломали ftp	Прочее	4	02.06.2012 14:18