Перейти к содержимому



Меня ломанули ;) Сайт на wordpress

#1 phpuser

phpuser
  • Неактивные
  • 520 сообщений
  • Репутация: 8
0

Отправлено 10 Март 2013 - 13:34

Не мог зайти в админку своего сайта, пока не связался с поддержкой хостинга.
При вводе в строке браузера имя-сайта/wp-config.php

Мне показывается следующее:
2013-03-10_123347.jpg

Не могу понять откуда оно берется и как это убрать?

 

 

  • 0
Вникаю в тему создания сайтов...


robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85
Советую обратить внимание на следующее:
  1. Настройка wordpress под сайт
  2. Не открывается сайт после смены темы wordpress
  3. Как вы освоили Wordpress?
  4. Как сделать блоги пользователей на сайте вордпресс?
  5. На сайте появились непонятные новые страницы

#2 isvetlichniy

isvetlichniy
  • Неактивные
  • 622 сообщений
  • Репутация: 93

Отправлено 10 Март 2013 - 13:51

надежнее всего удалить полностью сайт с сервера и залить заново
обязательно сменить все пароли: фтп и базы данных

другой вариант - попробовать лечить, но это дело хлопотное, поиски вредоносного кода могут занять много времени
  • 0

#3 phpuser

phpuser
    Topic Starter
  • Неактивные
  • 520 сообщений
  • Репутация: 8

Отправлено 10 Март 2013 - 14:01

Удалить сайт с сервера? А толку если он нашёл уязвимость значит еще раз найдет.
  • 0
Вникаю в тему создания сайтов...


#4 ol3gran1

ol3gran1
  • Пользователь
  • 66 сообщений
  • Репутация: 23

Отправлено 10 Март 2013 - 15:55

1. Дефейс в базе данных
2. Дефейс в файлах.

Выкачиваем весь сайт к себе на комп.
Открываем в notepad++, Найти в файлах -> "doctormister.info" -> Выбираем папку в которой лежит скачанный сайт (перед этим не забываем ассоциировать php файлы с notepad++).
Если результата нет ищем "base64_encode" и расшифровываем тут _http://www.opinionatedgeek.com/dotnet/tools/base64decode/
Далее чистим файлы от этого недуга.

Далее пишем хостеру и запрашиваем логи, смотрим и исправляем.
  • 1

#5 phpuser

phpuser
    Topic Starter
  • Неактивные
  • 520 сообщений
  • Репутация: 8

Отправлено 10 Март 2013 - 15:59

Я нашёл файлы в которых данное выражение упоминается, сейчас заменю эти файлы на дефолтные.
Подозреваю что меня ломанули через форму обратной связи.
  • 0
Вникаю в тему создания сайтов...


#6 isvetlichniy

isvetlichniy
  • Неактивные
  • 622 сообщений
  • Репутация: 93

Отправлено 10 Март 2013 - 21:57

Подозреваю что меня ломанули через форму обратной связи.


причем тут форма обратной связи если запись произведена в файлы?
  • 0

#7 ol3gran1

ol3gran1
  • Пользователь
  • 66 сообщений
  • Репутация: 23

Отправлено 11 Март 2013 - 15:16

У меня складывается впечатление, что вы не совсем компетентны в данном вопросе.
Форма обратной связи может служить источником взлома, после чего злоумышленник закрепился на сервере и уже спокойно поменял исходный код файлов.


  • 0

#8 isvetlichniy

isvetlichniy
  • Неактивные
  • 622 сообщений
  • Репутация: 93

Отправлено 11 Март 2013 - 15:59

У меня складывается впечатление, что вы не совсем компетентны в данном вопросе.


ну давай думать вместе

что нужно для того, чтобы записать что то в файл на удаленном сервере? правильно - доступ к ФТП
через форму обратной связи, чисто теоретически можно сделать запись в базу данных, ну или считать что то оттуда.
Но подобные лазейки уже практически нереальны в современных CMS
Но даже если злоумышленник получил доступ к БД, вордпресс не хранит ни один пароль в базе данных, кроме пароля пользователя, да и тот зашифрован.
Вопрос напрашивается сам собой: "причем тут форма обратной связи?"

Удалить сайт с сервера? А толку если он нашёл уязвимость значит еще раз найдет.


ставь самые последние версии скриптов, проблем не должно быть/ И поменяй все пароли
  • 0

#9 ol3gran1

ol3gran1
  • Пользователь
  • 66 сообщений
  • Репутация: 23

Отправлено 11 Март 2013 - 16:12

Давайте подумаем.
Предположим, что имеется уязвимая форма обратной связи.

1. Находим уязвимость(предположим xss)
2. Пишем через форму админу ресурса и вкладываем в запрос код для кражи печенек.
3. Если форма уязвима, она пропустит код и мы получаем куки админа залогиненного в панели.
4. Вставляем куки в свой браузер.
5. Авторизуемся в админку.
6. Заливаем шелл через плагины или любой другой способ.
7. Правим любые файлы на хосте, подключаемся к БД и творим что хотим.
8. profit!

Но подобные лазейки уже практически нереальны в современных CMS

Ошибаетесь, да простит меня администрация за подобную ссылку
_http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=XSS&filter_exploit_text=&filter_author=&filter_platform=0&filter_type=6&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=

пароля пользователя, да и тот зашифрован.

В WP хреновенький алгоритм шифрования, слишком слабый...
  • 0

#10 isvetlichniy

isvetlichniy
  • Неактивные
  • 622 сообщений
  • Репутация: 93

Отправлено 11 Март 2013 - 16:27

да, я со всем согласен, но чисто теоретически.
можно отправить письмо админу со вложенным кодом для кражи кукисов и т.д.


3. Если форма уязвима, она пропустит код и мы получаем куки админа залогиненного в панели.

Кстати надо проверить это все на практике, конкретно для WP и для конкретных форм обратки
Потому как для своих проектов я всегда фильтрую входящие данные. Неужели разработчики плагинов не делают этих элементарных вещей?

В WP хреновенький алгоритм шифрования, слишком слабый...


его было бы достаточно, если бы пользователи не ставили пароли типа "qwerty" :)
Для себя я нашел выход такой, шифруем например как md5(md5('пароль')) и можно ни о чем не беспокоится при любом пароле
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Оформление форума – IPBSkins.ru