Взлом сайта Вордпресс

Среда, 19 Фев 2014 7:29

Взлом сайта вордпресс – залили вирус

Всем привет!

Не так давно я рассказывал про взлом Dle – сайтов,  а сегодня расскажу вам  увлекательную историю про взлом сайта на движке WordPress.

А начиналось всё так. Некоторое время назад ко мне обратилась знакомая со следующим вопросом, ей стали поступать жалобы от пользователей на то, что они не могут попасть на её сайт, а вместо нужного сайта им почему-то открывается страница с какими-то играми.

Хотя дело было поздно вечером, я тут же решил проверить, в чем там дело. (Вы же меня знаете – я почти никогда не отказываю в помощиsmile). Добравшись до компьютера, я набрал в строке браузера нужный сайт – и он без проблем открылся. Тогда я зашел на пациента с мобильника, после секундного замешательства (кажется, я услышал, как проворачивается редиректsmile) меня выбросило на страницу мобильных игр.

Сомнений никаких быть не могло – естественно, что владелица женского форума не ставила и не думала ставить никаких переадресаций – сайт просто-напросто взломали и залили редирект.

Но увидеть его мало, надо же удалить причину, по какой он там появился, правильно?

Самое первое, что надо сделать в таких случаях – проверить файлик .htaccess, отвечающий за дополнительные настройки сервера apache, именно там в 99% случаев и находится вредоносный код. Получаем данные ftp, заходим на сайт и в данном файле видим следующую картину:

Картинки кликабельны – нажмите для увеличения.
Мобильный редирект вирус mobleq.com

Да, вот такой длиннющий код хакеры записали в этот файл. Кстати, надо отметить, что переадресация шла не сразу, а через промежуточные звенья, так называемые прокладки.

После того, как мы почистили данный код, переадресация с мобильников и планшетов пропала. Но как вы сами прекрасно понимаете, это не конец истории, а только её начало. Теперь надо выяснить, как хакер или хакеры попали на хостинг,   и закрыть эту дырку.

Беглый осмотр файлов показал, что посторонний код в них отсутствует. К логам доступа пока нет, поэтому проверяем все файлы антивирусом и прогоняем скриптом.

[original:seo-semki.ru]

Но дело значительно осложняется тем, что на хостинге располагается не только этот взломанный форум, а ещё и несколько десятков других сайтов. И вот тут начинается самое интересное. При попытке зайти на любой из этих сайтов (да, вы правильно угадали) снова срабатывает переадресация, и место нужной страницы мы созерцаем некие игры для мобильных браузеров, любезно подкинутые нам хацкерами.

Причем были взломаны абсолютно разные сайты, установленные на разных ЦМС  – Вордпресс, ДЛЕ, Опенкарт, вБуллетин и даже простенькие самописные без баз данных. Хотя о чём это я? Достаточно было взломать один из них, залить шелл, а далее делать всё, что душе заблагорассудится – благо простор для действий открывается тут большой.

Кстати, справедливости ради стоит сказать, что не на всех сайтах был установлен мобильный редирект – на нескольких проектах он все же отсутствовал – по какой причине трудно сказать, то ли  взломщик банально поленился, то ли попросту не успел, однако можно отметить следующее. Там, где этого файла не было (да, были и такие), он был создан с указанной выше директивой, там же,  где файл .htaccess присутствовал, вредоносный код был просто дописан в конце либо его начале.

Итак, почти шесть десятков сайтов, около 150 тысяч файлов,  нелегкая была работенка. Но мы с ней успешно справились. Проверка показала подозрительный файл user.php в директории Вордпресс, а именно в папке со стандартной темой  «ТвентиТен» по пути wp-content/themes/twentyten/user.php. Обычному человеку этот факт ничего не скажет, но тот, кто тесно связан с разработкой, да и просто с работой с данной CMS, сразу догадается, где кроется подвох – такого файла в стандартном дистрибутиве WordPress просто нет!

Надо отдать должное, при попытке скачать данный файл, антивирус сразу начал ругаться и заблокировал этот файл как нежелательную или вирусную программу PHP/Shell.G.2.

Уже с самого названия –  «Шелл» видно, что мы практически попали в яблочко. Смотрим поближе на этот файл:

Пример шелла со взломанного сайта на Вордпресс

Да, мы отловили ещё один шелл WSO 2.5. Поскольку его залили в папку со старым, давно не обновляемым Вордпрессом, поэтому первая логическая мысль, которая приходит в голову – взломали либо старую версию движка, либо через устаревшие плагины, которые также очень давно не обновлялись и не использовались, хотя были подключены.

Так что будьте умнее – учитесь на ошибках других. Авторы выпускают обновления и новые версии ЦМС не от скуки и не для удовольствия, а для таких вот именно случаев, так что не забывайте всегда обновлять свои сайты и дополнения до последней стабильной версии. Особенно это касается всех пользователей проектов под управлением Dle.

Кстати, на днях планирую еще одну подробную статью про то, как важно вовремя обновлять WordPress и плагины для него, иначе ваш сайт становится слишком уязвимым.

Но вернемся к нашему взлому. Помните, я написал, что файл .htaccess был заменен почти во всех папках, но всё же осталась малая часть, которую взломщик не успел затронуть. Так вот, судя по всему, мы шли за ним по пятам. Вот скриншот файлов с датами их изменения:

Взломщик поменял даты изменения файлов на хостинге

Так вот, на части из них дата была изменена на ту, которая соответствовала всем остальным файлам на хостинге, то есть более раннюю. Но малая часть осталась без изменений – на рисунке такие даты выделены красным цветом. Они показывают то время, когда злоумышленник правил конфигурации и прописывал в них переадресацию!

[original:seo-semki.ru]

На сегодня всё. Завтра я напишу о том, что нам рассказали логи, а также окончание этой поучительной истории, из которой вы узнаете, как  хакер проник на сервер и как залили шелл на движок под управлением системы Вордпресс.

Так что не пропустите продолжение этой истории про взлом сайта. Можете также подписаться на рассылку, в таком случае вы точно не пропустите следующую статью.

И напоследок традиционный анекдот, а точнее шутка про Одноклассники.

Сайт “Одноклассники” существует для того, чтобы вы нашли через тридцать пять лет свою первую любовь, которую не могли забыть все эти годы – и наконец, забыли!

Понравилась запись – нажмите на кнопки соц. сетей слева – вам не трудно, а мне приятно.

    Подпишитесь на комментарии, чтобы не пропустить
    важный ответ:



подписка на rss RSS - подписка
    подписка twitter Twitter - подписка

Вы можете оставить отзыв или трекбек со своего сайта.

Отзывов: 3 на «Взлом сайта Вордпресс»

  1. Как ломают сайты на Вордпресс | SEO-semki пишет:

    20 Фев 2014 в 11:36

    […] и обещал, сегодня логическое  продолжение истории про взлом  сайта на движке Вордпресс. В тот раз неизвестный хакер или […]

  2. Petr пишет:

    13 Мар 2014 в 16:43

    Эти с маблек известные взломщики, давно взломами промышляютhttp://seo-semki.ru/icons/wpml_negative.gif

    [Ответить]

  3. Красивая нумерация страниц в блогах Вордпресс | SEO-semki пишет:

    21 Мар 2014 в 15:00

    […] Так что не используйте темы с варез-помоек и криво написанные программы и все будет ОК, а кроме того, также поможет избежать взлома сайта. […]

Ваш отзыв

http://seo-semki.ru/icons/wpml_bye.gif 
:bye:
http://seo-semki.ru/icons/wpml_good.gif 
:good:
http://seo-semki.ru/icons/wpml_negative.gif 
:negative:
http://seo-semki.ru/icons/wpml_scratch.gif 
:scratch:
http://seo-semki.ru/icons/wpml_wacko.gif 
:wacko:
http://seo-semki.ru/icons/wpml_yahoo.gif 
:yahoo:
http://seo-semki.ru/icons/wpml_cool.gif 
B-)
http://seo-semki.ru/icons/wpml_heart.gif 
:heart:
http://seo-semki.ru/icons/wpml_rose.gif 
:rose:
http://seo-semki.ru/icons/wpml_smile.gif 
:-)
http://seo-semki.ru/icons/wpml_whistle3.gif 
:whistle:
http://seo-semki.ru/icons/wpml_yes.gif 
:yes:
http://seo-semki.ru/icons/wpml_cry.gif 
:cry:
http://seo-semki.ru/icons/wpml_mail.gif 
:mail:
http://seo-semki.ru/icons/wpml_sad.gif 
:-(
http://seo-semki.ru/icons/wpml_unsure.gif 
:unsure:
http://seo-semki.ru/icons/wpml_wink.gif 
;-)