WordPress похоже взломан...

[algaretio]

Всем привет Друзья! Вчера заметил, что при заходе с мобильного на свой сайт, меня редиректит на это гавно http://androidbrowsers.net/?browser=dolphin с требованием установить Dolphin Browser. Ссылка ведет на инсталл браузера в AD1.



Разумеется сам я таких кодов не ставил и сразу понял что сайт взломан. Имея опыт восстановления после взлома примерно 10-ка сайтов на WP, я сразу проверил наиболее частые "места" на наличие редиректов и лишних кодов, это: .htaccess, файлы темы functions.php и тп, также проверил все плагины на предмет изменения файлов по датам. К своему удивлению я нигде не обнаружил ничего - никаких кодов, никаких js и редиректов. Более того, создается впечатление, что файлы WP никак не менялись совершенно. Хитрость еще в том, что увидеть этот редирект можно только 1 раз, то есть если потом зайти с этого же мобильного устройства, сменить IP, оператора, браузер, очистить куки и тп, редирект больше не показывается. По всей видимости там ТДС какая-то сурьезная или хз что. В общем не знаю что делать, подскажите еще варианты где можно копать? Хостинг - VPS на FASTVPS, может стоит смотреть какие-то конфиги сервака?

[Ebvans]

Шелл залили. Такие бесплатные движки как WP И Joomla очень уязвимы к сожалению. Их даже ломают с помощью автоматического софта и потом продают доступы на тысячи сайтов. А те уже заливают туда что хотят получив полный доступ.

Весьма часто кодируют ссылки в Base64. Попробуй вот этот сервис base64.ru и закодируй адрес домена и потом поищи этот закодированный код в файлах.

Да и кстати насчет даты измены файлов это ничего не значит. Софт которым взломщики пользуются умеет не менять дату или редактировать ее.

[algaretio]

Ebvans, да, но не вижу совсем никаких следов эксплойта, совсем ничего, ни сторонних файлов, ничего, все как-то кристально чисто А в базе что-то стоит поискать?

[Const777]

algaretio, а чем монетезирован сайт?
Некоторые тизерки иногда выводят такую высплывающую рекламу при заходе с мобильных

[tolev]

на свои сайты следует ставить ограничение доступа к админке. для вп и джумлы это крайне актуально, их хакают как орехи и на ура. А прописать хтассес минутное дело, не панацея но все же.

[brig]

algaretio, поделитесь опытом, что у вас стояло для обеспечения безопасности? Плохой опыт тоже опыт :)

[algaretio]

Const777, да там ток Adsense.

---------- Сообщение добавлено 09:37 ---------- Предыдущее 09:32 ----------

brig, по большому счету ничего, сложнейшие пароли такого характера везде sd923aQM&W3OA1klImJw причем разные везде разумеется, сбрутить такие практически нереально. Это не номер телефона или дата рождения, как ставят многие Сейчас произвел некоторые действия для защиты, установил с хабра несколько подсказок в htaccess. Base64 нигде не нашел, просканировал сайт и плагинами и вручную в Notepad++, более того, я создал в группе опрос на предмет - видят ли люди это окно, пишут что нет, никто не видит, ну блин сабж то есть, скрин приложен Я уже думаю неужто мой провайдер (Билайн) занялся такой фигней? Хотя после случая с подменой рефки от Ростелеком, я уже ничему не удивлюсь.

[Makedo]

brig,я ставлю ограничение доступа к админке и FTP - кроме моего ip никто зайти не может. Настройка выставляется у хостера.

[Const777]

похоже WP тут не причем,
читаем http://searchengines.guru/showthread.php?t=881030

[algaretio]

Const777,ага тоже нашел, дело в Adsense млин.