[X] Помощник

[phpuser Topic Starter]

Не мог зайти в админку своего сайта, пока не связался с поддержкой хостинга.
При вводе в строке браузера имя-сайта/wp-config.php

Мне показывается следующее:


Не могу понять откуда оно берется и как это убрать?

[isvetlichniy]

надежнее всего удалить полностью сайт с сервера и залить заново
обязательно сменить все пароли: фтп и базы данных

другой вариант - попробовать лечить, но это дело хлопотное, поиски вредоносного кода могут занять много времени

[phpuser Topic Starter]

Удалить сайт с сервера? А толку если он нашёл уязвимость значит еще раз найдет.

[ol3gran1]

1. Дефейс в базе данных
2. Дефейс в файлах.

Выкачиваем весь сайт к себе на комп.
Открываем в notepad++, Найти в файлах -> "doctormister.info" -> Выбираем папку в которой лежит скачанный сайт (перед этим не забываем ассоциировать php файлы с notepad++).
Если результата нет ищем "base64_encode" и расшифровываем тут _http://www.opinionatedgeek.com/dotnet/tools/base64decode/
Далее чистим файлы от этого недуга.

Далее пишем хостеру и запрашиваем логи, смотрим и исправляем.

[phpuser Topic Starter]

Я нашёл файлы в которых данное выражение упоминается, сейчас заменю эти файлы на дефолтные.
Подозреваю что меня ломанули через форму обратной связи.

[isvetlichniy]

Подозреваю что меня ломанули через форму обратной связи.

причем тут форма обратной связи если запись произведена в файлы?

[ol3gran1]

У меня складывается впечатление, что вы не совсем компетентны в данном вопросе.
Форма обратной связи может служить источником взлома, после чего злоумышленник закрепился на сервере и уже спокойно поменял исходный код файлов.

[isvetlichniy]

У меня складывается впечатление, что вы не совсем компетентны в данном вопросе.

ну давай думать вместе

что нужно для того, чтобы записать что то в файл на удаленном сервере? правильно - доступ к ФТП
через форму обратной связи, чисто теоретически можно сделать запись в базу данных, ну или считать что то оттуда.
Но подобные лазейки уже практически нереальны в современных CMS
Но даже если злоумышленник получил доступ к БД, вордпресс не хранит ни один пароль в базе данных, кроме пароля пользователя, да и тот зашифрован.
Вопрос напрашивается сам собой: "причем тут форма обратной связи?"

Удалить сайт с сервера? А толку если он нашёл уязвимость значит еще раз найдет.

ставь самые последние версии скриптов, проблем не должно быть/ И поменяй все пароли

[ol3gran1]

Давайте подумаем.
Предположим, что имеется уязвимая форма обратной связи.

1. Находим уязвимость(предположим xss)
2. Пишем через форму админу ресурса и вкладываем в запрос код для кражи печенек.
3. Если форма уязвима, она пропустит код и мы получаем куки админа залогиненного в панели.
4. Вставляем куки в свой браузер.
5. Авторизуемся в админку.
6. Заливаем шелл через плагины или любой другой способ.
7. Правим любые файлы на хосте, подключаемся к БД и творим что хотим.
8. profit!

Но подобные лазейки уже практически нереальны в современных CMS

Ошибаетесь, да простит меня администрация за подобную ссылку

_http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=XSS&filter_exploit_text=&filter_author=&filter_platform=0&filter_type=6&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=

пароля пользователя, да и тот зашифрован.

В WP хреновенький алгоритм шифрования, слишком слабый...

[isvetlichniy]

да, я со всем согласен, но чисто теоретически.
можно отправить письмо админу со вложенным кодом для кражи кукисов и т.д.

3. Если форма уязвима, она пропустит код и мы получаем куки админа залогиненного в панели.

Кстати надо проверить это все на практике, конкретно для WP и для конкретных форм обратки
Потому как для своих проектов я всегда фильтрую входящие данные. Неужели разработчики плагинов не делают этих элементарных вещей?

В WP хреновенький алгоритм шифрования, слишком слабый...

его было бы достаточно, если бы пользователи не ставили пароли типа "qwerty"
Для себя я нашел выход такой, шифруем например как md5(md5('пароль')) и можно ни о чем не беспокоится при любом пароле