Дан перевод Ч1 статьи «Did your WordPress site get hacked?» (Ваш WordPress сайт взломан?) рекомендованной для прочтения разработчиками WordPress.

Автор:Donncha О Caoimh | 8 июня 2008

Did your WordPress site get hacked  Ч1

Помните, несколько недель назад  был всеобщий шум о взломанных WordPress блогах? Помните, как всем было настоятельно рекомендовано обновить свои блоги. Вы обновились, не так ли? Нет? Неизбежно то, что Вы буде взломаны. Если вы еще не были взломаны, тем не менее, это всего лишь вопрос времени.

К сожалению, для некоторых, кто сделал обновление, было уже слишком поздно. Взломщикам, возможно, было известно о проблемах безопасности, прежде чем мы обновились, в результате чего и распространялся их веселый способ взлома блогов и сайтов с  захватом имен пользователей и паролей, а также насаждением бэкдор скриптов для входа их снова в более поздний срок.

Вот как даже тщательно обновленные блоги были взломаны. Плохие парни опередили Вас.

На прошлой неделе взломщики активировались снова. Не было zero day WordPress эксплоита. Нет никаких доказательств для данной  версии WordPress 2.5.1 уязвимостей для любого эксплоита в это время. Они используют старые эксплоиты снова и снова. На этот раз они переадресовывают ответы от Google на Ваш блог. Эти ответы вместо этого перенаправлены на Ваши anyresult.net и needs.info .

Если Вы были взломаны

1. Обновитесь до последней версии WordPress.
2. Убедитесь, что нет никаких бэкдоров или вредоносных кодов, оставшихся в Вашей системе. Это будет в виде скриптов, оставленных злоумышленником, или модификации существующих файлов. Проверьте ваши файлы темы тоже.
3. Меняйте пароли после обновления и убедитесь, что злоумышленник не создал еще одного пользователя.
4. Измените WP-config.php и создайте определение  или измените секретный ключ. Это должно выглядеть так, но не используйте тот же ключ или он не будет большим секретом, не так ли?

Скрытый код

Плохие парни используют несколько способов, чтобы скрыть свои хаки:

Самый простой способ — скрыть свой ??код в Ваших скриптах. Если ваш блог и каталог файлов перезаписываемых на веб-сервере, то злоумышленник имеет полную свободу, чтобы вставить свой код, где бы он ни захотел. wp-blog-header.php может быть одним из мест. Файлы темы — другим. При обновлении WordPress файлы темы не будут перезаписаны, поэтому убедитесь, что Вы дважды проверили эти файлы на любой странный код, использующий Eval () команды или base64_decode () . Вот фрагмент кода, взятые   здесь: <? PHP    Другой хак добавляет  различные коды в Ваши PHP файлы. Ищите k1b0rg или  keymachine.de в Ваших скриптах и удаляйте вредоносный код, если найдете.

Проверьте .htaccess файл в корневом каталоге Вашего блога. Если Вы никогда не редактировали его, он будет должен выглядеть следующим образом:

 

Этот файл может иметь этот кусок кода, который тоже связан с загрузчиком:

 

 

• Они также загружают PHP код, замаскированный под файлы JPEG в вашей  папке загрузки и добавляют эти файлы в плагины из списка активированных. Это усложняет их поиск, но не является невозможным:
  1. Откройте PHPMyAdmin и перейдите к таблице options Вашего блога и найдите active_plugins запись.
  2. Изменить эту запись. Это длинная линия. Просмотрите это, и Вы увидите запись, которая выглядит как ../uploads/2008/05/04/jhjyahjhnjnva.jpg . Удалите этот текст, и убедитесь, что вы удаляете упорядоченный массив информации для того массива записи. Если это за пределами Ваших возможностей, то просто удалите active_plugins запись и активировать все плагины снова.
  3. Проверьте папку загрузки на наличие этого JPG-файла и удалите его.
  4. Это  видео Youtube показывает, как сделать это. Я не думаю, что есть любая насущная необходимость удалить rss_* отчет базы данных, но не помешает это сделать.

Продолжение следует

Примечание: данная статья полезна хотя бы тем, что показывает, как выглядит незараженный .htaccess файл. Такие файлы зачастую не показываются файловыми менеджерами хостинга, но их всегда можно посмотреть с помощью FTP клиента. Если файловый монитор типа WordPress File Monitor Plus показывает изменения в этом файле, то стоит его сравнить с приведенным. Если есть отличия, то нужно проконсультироваться с тех. поддержкой хостинга на предмет наличия опасностей в этом файле (некоторые плагины  также могут изменять этот файл).