263

Зламали сайт на WordPress

Зламали сайт на WordPressВчора на одному з сайтів, зустрівся з маленьким сюрпризом. Замість сторінки категорії (сайт на WordPress), завантажилася порожня сторінка з однєю формою, яка просила якийсь код. Моя перша ж думка, яка виявилось була правильною думкою – сайт зламали! А ця не зрозуміла фіглятина, що відобразилась у бравзері замість контенту, не що інше, як вірус на сайті!

Зайшовши в адмінку, глянув у файл archive.php, а там побачив його повністю зміненим на величезний код. Починався він так:

І так далі, загалом 3009 рядків коду і 68 кілобайт в об’ємі. Звісно перше, що я зробив – видалив його. І написав у тех.підтримку хостингу. Вони перенаправили мене на цікаву статтю: habrahabr.ru, де все гарно описано що робити при такій ситуації. Я ж опишу, що я зробив і якими засобами скористався, щоби поставити захист на WordPress. Після неприємного випадку із зараженням вірусом – це стало необхідністю.

Отже після видалення самого вірусного файлу, я перевірив вміст усіх інших файлів шаблону. Колись уже мав справу із закодованими скриптами фреймів, то в першу чергу дивився чи є десь шифр base64. Виявилось, що файли чисті. Підозрілих додаткових файлів теж не знайшов, тому приступив до вивчення логів.

У пошуку по файлі ввів archive.php і через те, що я його ніколи не змінював, потрапив зразу на дії зловмисника, побачив яким чином він зламав сайт. Шматок з логів:

87.244.129.166 – – [07/Jun/2013:00:10:54 +0300] “GET / HTTP/1.0” 200 57928 “-” “Mozilla/3.0 (compatible; Indy Library)”
87.244.129.166 – – [07/Jun/2013:00:10:55 +0300] “POST /wp-login.php HTTP/1.0” 302 910 “-” “Mozilla/3.0 (compatible; Indy Library)”
87.244.129.166 – – [07/Jun/2013:00:10:55 +0300] “POST /wp-admin/theme-editor.php HTTP/1.0” 200 40447 “-” “Mozilla/3.0 (compatible; Indy Library)”
87.244.129.166 – – [07/Jun/2013:00:10:57 +0300] “GET /wp-admin/theme-editor.php?file=archive.php&theme=scroll HTTP/1.0” 200 30701 “-” “Mozilla/3.0 (compatible; Indy Library)”

Падлюка з Кременчука зламала одного з адмінів і легко без зайвих рухів наробила своїх справ. У зло сайту і мені. Цікавим є те, що факт злому був вночі, наступного дня його вірус вже було знищено. Тобто багато справ не наробив. Проте, я по ІР все ж вирішив перенлянути, що воно могло накоїти за цей час.

І виявилося – не марно. Вірус на сайті уже встиг замінити старі публікації (десь 5 штук). При цьому у цих публікаціях були закриті коментарі (важлива ознака спам віруса на сайті!), а в тексті вставлені невидимі блоки з посиланням на бичі ресурси. Дії схожі на спамбота.

Почистивши ці публікації  я змінив паролі FTP та адмінки, відправив ІР у тех.підримку, аби заблокували доступ. І оновив всі плагіни.

Читайте також: