#wordpress Dzień dobry. Znajomemu wgrał się wirus i poprosił mnie o pomoc. Wykasowałem cholerstwo, a po kilku godzinach katalog na nowo się pojawił. Po zabawach z chmod, debugbacktrace itd. udało mi się ustalić, że wirus jest wgrywany poprzez:
Plugin_Upgrader->install() WP_Upgrader->run() WP_Upgrader->install_package() copy_dir() Jedno, czego jeszcze nie wiem, jest to, gdzie ten wirus wrzucił swój kod wpinający się do upgradera? Czy znajdzie się jakaś dobra dusza, która podpowie gdzie może siedzieć to co wywołuje się razem z upgradem?
Jakie szczęście, że ja i moi klienci nie mamy żadnej strony na Wordpressie ( ͡°͜ʖ͡°)
Coś czuję, że niedługo będzie bardzo popularne nowe hasło: chcesz mieć szybkie włamanie do twojej strony internetowej, zrób sobie stronę na Wordpressie.
SELECT * FROM wpposts WHERE postcontent LIKE '%<iframe%' UNION SELECT * FROM wpposts WHERE postcontent LIKE '%<noscript%' UNION SELECT * FROM wpposts WHERE postcontent LIKE'%display:%'
i zobacz, czy tam coś nie siedzi. Hasła FTP/admina WP pozmieniane, wtyczki aktualne (i do sprawdzenia kiedy byłą ostatnia aktualizacja, bo bywa, że jest "aktualna", a aktualizacja ostatnio 3 lata temu)? Motyw jak jest niestandardowy,
@apee: .htaccess i wp-config czyste; iframe, noscript, display nie ma; wordpress najnowszy, wtyczki najnowsze (chociaż niektóre mają już swoje lata świetności za sobą); wordfence i sucuri nie znajdują zmodyfikowanych plików
Najbardziej zastanawia mnie jak wirus jest wpięty do aktualizatora wtyczek. Niestety na forum wordpressa uzyskałem mało wartościową odpowiedź.
@januzi: sprawdź katalogi dobrze i daty plików, np. w uploads. Zaglądałem niedawno na stronę nieaktualizowaną od dawna i sporo śmieci było wgranych gdzie się dało - w uploads były różne archiwa .zip a w pozostałych folderach dziwne twory i przekierowania w index.php
@Fagaldo_Antonio: Nie muszę. Sam robię wdrożenia. Średnia cena 9k. Zawodowo siedzę 13 lat w branży. Wcześniejszych lat nie liczę, kiedy człowiek głównie uczył się.
A Wordpressa omijam szerokim łukiem. Zresztą nie tylko ja. Niech studenciaki robią sobie na WP gównostronki za 300 zł na gotowych szablonach. Potem niech się do nich włamują, a właściciele tych stron niech płaczą.
@januzi: Cześć, naprawiłeś to już? Możesz za darmo przeskanować stronę na https://webanti.com i zobaczysz gdzie dokładnie znajduje się wirus lub przenieść te pliki do kwarantanny ( ͡°͜ʖ͡°)
Jak chcecie ochrony planety to przestańcie wydawać co rok nowy telefon i wprowadźcie program łatwej wymiany baterii ( ͡°͜ʖ͡°) a nie sobie mordę wycieracie ekologią bedac jednocześnie najwikeszym trucicielem spośród spółek technologicznych #apple
18+
Zawiera treści 18+
Ta treść została oznaczona jako materiał kontrowersyjny lub dla dorosłych.
Plugin_Upgrader->install()WP_Upgrader->run()
WP_Upgrader->install_package()
copy_dir()
Jedno, czego jeszcze nie wiem, jest to, gdzie ten wirus wrzucił swój kod wpinający się do upgradera? Czy znajdzie się jakaś dobra dusza, która podpowie gdzie może siedzieć to co wywołuje się razem z upgradem?
Coś czuję, że niedługo będzie bardzo popularne nowe hasło: chcesz mieć szybkie włamanie do twojej strony internetowej, zrób sobie stronę na Wordpressie.
I skończy się złota passa WP.
SELECT * FROM wpposts WHERE postcontent LIKE '%<iframe%'
UNION
SELECT * FROM wpposts WHERE postcontent LIKE '%<noscript%'
UNION
SELECT * FROM wpposts WHERE postcontent LIKE'%display:%'
i zobacz, czy tam coś nie siedzi.
Hasła FTP/admina WP pozmieniane, wtyczki aktualne (i do sprawdzenia kiedy byłą ostatnia aktualizacja, bo bywa, że jest "aktualna", a aktualizacja ostatnio 3 lata temu)?
Motyw jak jest niestandardowy,
Najbardziej zastanawia mnie jak wirus jest wpięty do aktualizatora wtyczek. Niestety na forum wordpressa uzyskałem mało wartościową odpowiedź.
A Wordpressa omijam szerokim łukiem. Zresztą nie tylko ja. Niech studenciaki robią sobie na WP gównostronki za 300 zł na gotowych szablonach. Potem niech się do nich włamują, a właściciele tych stron niech płaczą.