Перейти к содержимому

Реферальная программа Мегаплана

Партнерская программа Kredov

Меня ломанули ;) Сайт на wordpress

#1 phpuser

phpuser
  • Пользователь
  • 520 сообщений
  • Репутация: 8
0

Отправлено 10 Март 2013 - 13:34

Не мог зайти в админку своего сайта, пока не связался с поддержкой хостинга.
При вводе в строке браузера имя-сайта/wp-config.php

Мне показывается следующее:
2013-03-10_123347.jpg

Не могу понять откуда оно берется и как это убрать?

 

 

  • 0
Вникаю в тему создания сайтов...


#2 isvetlichniy

isvetlichniy
  • Пользователь
  • 619 сообщений
  • Репутация: 93

Отправлено 10 Март 2013 - 13:51

надежнее всего удалить полностью сайт с сервера и залить заново
обязательно сменить все пароли: фтп и базы данных

другой вариант - попробовать лечить, но это дело хлопотное, поиски вредоносного кода могут занять много времени
  • 0

#3 phpuser

phpuser
    Topic Starter
  • Пользователь
  • 520 сообщений
  • Репутация: 8

Отправлено 10 Март 2013 - 14:01

Удалить сайт с сервера? А толку если он нашёл уязвимость значит еще раз найдет.
  • 0
Вникаю в тему создания сайтов...


#4 ol3gran1

ol3gran1
  • Пользователь
  • 51 сообщений
  • Репутация: 16

Отправлено 10 Март 2013 - 15:55

1. Дефейс в базе данных
2. Дефейс в файлах.

Выкачиваем весь сайт к себе на комп.
Открываем в notepad++, Найти в файлах -> "doctormister.info" -> Выбираем папку в которой лежит скачанный сайт (перед этим не забываем ассоциировать php файлы с notepad++).
Если результата нет ищем "base64_encode" и расшифровываем тут _http://www.opinionatedgeek.com/dotnet/tools/base64decode/
Далее чистим файлы от этого недуга.

Далее пишем хостеру и запрашиваем логи, смотрим и исправляем.
  • 1

#5 phpuser

phpuser
    Topic Starter
  • Пользователь
  • 520 сообщений
  • Репутация: 8

Отправлено 10 Март 2013 - 15:59

Я нашёл файлы в которых данное выражение упоминается, сейчас заменю эти файлы на дефолтные.
Подозреваю что меня ломанули через форму обратной связи.
  • 0
Вникаю в тему создания сайтов...


#6 isvetlichniy

isvetlichniy
  • Пользователь
  • 619 сообщений
  • Репутация: 93

Отправлено 10 Март 2013 - 21:57

Подозреваю что меня ломанули через форму обратной связи.


причем тут форма обратной связи если запись произведена в файлы?
  • 0

#7 ol3gran1

ol3gran1
  • Пользователь
  • 51 сообщений
  • Репутация: 16

Отправлено 11 Март 2013 - 15:16

У меня складывается впечатление, что вы не совсем компетентны в данном вопросе.
Форма обратной связи может служить источником взлома, после чего злоумышленник закрепился на сервере и уже спокойно поменял исходный код файлов.


  • 0

#8 isvetlichniy

isvetlichniy
  • Пользователь
  • 619 сообщений
  • Репутация: 93

Отправлено 11 Март 2013 - 15:59

У меня складывается впечатление, что вы не совсем компетентны в данном вопросе.


ну давай думать вместе

что нужно для того, чтобы записать что то в файл на удаленном сервере? правильно - доступ к ФТП
через форму обратной связи, чисто теоретически можно сделать запись в базу данных, ну или считать что то оттуда.
Но подобные лазейки уже практически нереальны в современных CMS
Но даже если злоумышленник получил доступ к БД, вордпресс не хранит ни один пароль в базе данных, кроме пароля пользователя, да и тот зашифрован.
Вопрос напрашивается сам собой: "причем тут форма обратной связи?"

Удалить сайт с сервера? А толку если он нашёл уязвимость значит еще раз найдет.


ставь самые последние версии скриптов, проблем не должно быть/ И поменяй все пароли
  • 0

#9 ol3gran1

ol3gran1
  • Пользователь
  • 51 сообщений
  • Репутация: 16

Отправлено 11 Март 2013 - 16:12

Давайте подумаем.
Предположим, что имеется уязвимая форма обратной связи.

1. Находим уязвимость(предположим xss)
2. Пишем через форму админу ресурса и вкладываем в запрос код для кражи печенек.
3. Если форма уязвима, она пропустит код и мы получаем куки админа залогиненного в панели.
4. Вставляем куки в свой браузер.
5. Авторизуемся в админку.
6. Заливаем шелл через плагины или любой другой способ.
7. Правим любые файлы на хосте, подключаемся к БД и творим что хотим.
8. profit!

Но подобные лазейки уже практически нереальны в современных CMS

Ошибаетесь, да простит меня администрация за подобную ссылку
_http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=XSS&filter_exploit_text=&filter_author=&filter_platform=0&filter_type=6&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=

пароля пользователя, да и тот зашифрован.

В WP хреновенький алгоритм шифрования, слишком слабый...
  • 0

#10 isvetlichniy

isvetlichniy
  • Пользователь
  • 619 сообщений
  • Репутация: 93

Отправлено 11 Март 2013 - 16:27

да, я со всем согласен, но чисто теоретически.
можно отправить письмо админу со вложенным кодом для кражи кукисов и т.д.


3. Если форма уязвима, она пропустит код и мы получаем куки админа залогиненного в панели.

Кстати надо проверить это все на практике, конкретно для WP и для конкретных форм обратки
Потому как для своих проектов я всегда фильтрую входящие данные. Неужели разработчики плагинов не делают этих элементарных вещей?

В WP хреновенький алгоритм шифрования, слишком слабый...


его было бы достаточно, если бы пользователи не ставили пароли типа "qwerty" :)
Для себя я нашел выход такой, шифруем например как md5(md5('пароль')) и можно ни о чем не беспокоится при любом пароле
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Оформление форума – IPBSkins.ru