Если твой сайт на WordPress взломали…. Взлом сайта на wordpress
Если твой сайт на WordPress взломали…
Если твой сайт на WordPress взломали, то ты сам дурак. Скорее всего ты скачивал «бесплатные» шаблоны, левые плагины с левых сайтов, и держал на одной виртуалке несколько папок, в которых так же заливал сомнительные PHP-скрипты типа гостевых книг, парсилок, движков и прочего хлама.
Удивительно! Но наши дети уже зарабатывают больше чем мы, их родители. Потому что детские каналы хорошо монетизируются! Кто эту фишку просек — тот уже гребет бабло лопатой.
Первое правило безопасности WordPress
На одном виртуальном хостинге должен быть один движок WordPress. Без соседей. Желательно, чтобы файлы на хостинг были закачаны под одним пользователем и запись в них была разрешена только для него. А для файлов, которые создает движок (картинки, кэш и т. д.) создавались только в определенных папках пользователем www-data, который в случае взлома не смог бы вмешаться и перезаписать исполняемые файлы.
Второе правило безопасности WordPress
Всегда устанавливай плагины и шаблоны только из репозитория, если не разбираетесь в программировании! Так вы не подхватите внедренный код от злоумышленников. Не нужно искать бесплатные шаблоны, которые продаются за деньги. В 99% случаев в них будет внедрен сторонний код.
Третье правило безопасности WordPress
Оперативно обновляй движок и все плагины! Я сейчас много работаю с чужими сайтами на WordPress и 99% заказчиков вообще не обновляют свой сайт, а иногда даже (вот это сюрприз!) ставят специальный плагин для блокировки обновлений. Зачем? Это не умно. Установка «работает — не трогай» в этом случае не верна. Если при обновлении возникли проблемы, их нужно решать, а не бояться обновлять свой сайт!
Что делать, если сайт взломали?
Вот краткая инструкция, как можно привести свой сайт в порядок. Подходит для продвинутых пользователей:
- Делаем бэкап БД и всех файлов. На всякий пожарный.
- Если к БД есть коннект с любого IP, меняем пароль
- Удаляем все шаблоны, кроме основного.
- Основной шаблон файл за файлом проверяем на внедернный левый код. Скорее всего дата обновления у этих файлы будет отлична от даты, когда шаблон заливался на хостинг
- Проверяем всю папку wp-content на левые файлы PHP. Скорее всего злоумышленних рассует бэкдоры туда и сюда. Поэтому лучше не ставить галочку «Помещать загруженные мной файлы в папки по месяцу и году» в настройках сайта. Это дополнительный гимор. Пусть все файлы будут в одной папке. Так легче мониторить их.
- Деактивируем все плагины и удаляем все в папке wp-content/plugins
- Сносим полностью папки wp-admin и wp-includes и все файлы в корне сайта
- Закачиваем удаленные папки и файлы, скачанные с официального сайта wordpress.org
- Заливаем обновленный wp-config.php
- Заходим на сайт, убеждаемся в работоспособности. При необходимости жмем кнопку «обновить базу данных»
- Заходим в админку. Устанавливаем нужные плагины из репозитория
- Можно установить парочку защитных плагинов на будущее. Например те, которые прячут админку и сканируют шаблон на внедренный зловредный код.
Если ты затрудняешься произвести все эти действия самостоятельно, то без проблем — я сделаю это за тебя! Я специализируюсь на таких вещах и уже много раз восстанавливал сайты заказчиков после взлома. По ссылке и отзывы есть.
У кого-то розовые пони, у кого-то голубые. А у кого-то пони деньги приносит. Сможешь так же? Или слабак?
Треп по сабжу
Возможность насрать в комментах доступна только в первые две недели после публикации
alexblack.wtf
Взломали сайт на вордпрессе версии 4.7.1
Порой гуляю по своим сайтам в интернете и смотрю — все ли с ними в порядке, а также сколько человек их посетило за последний день. И был немного шокирован, когда обнаружил, что кто-то изменил мою последнюю запись на одном из проектов. Вместо статьи красовалась надпись «Hacked By Imam with Love». Я сразу понял, что сайт скорее всего взломали. Пришлось срочно что-то делать. Подумал, что придется хотя бы изменять пароли как при входе в админку сайта, так и у самой электронной почты. Но в итоге обошелся без этого, так как выяснил, что проблема не в этом.
Переводчик перевел мне фразу «Hacked By Imam with Love» следующим образом — «Взломали имама с любовью».
Это забавно. Слово «любовь» во фразе меня даже немного успокоила и я решил не торопиться. Воспользовался поисковиками, чтобы понять, а взламывали ли кого-то в последнее время точно также, как и меня. И оказалось, что да. А причина была банальной. Хакеры нашли уязвимость в версии вордпресс 4.7.1 и используя свои трюки вместо последней записи на страницах публиковали свою. Возможно, что это сделал даже какой-то школьник с программой для взлома, проживая где-то на другом конце земного шара. И это все не имеет отношения к моему паролю. Который кстати достаточно сложный. У меня вообще нет легких паролей. Все состоят из минимум 10 различных символов (буквы, цифры, знаки). А чаще всего всего их и больше.
Вот так вот. И как тут верить после этого словам, что нужно постоянно обновлять вордпресс, чтобы быть в безопасности. Ведь по идее новые версии должны быть в этом плане лучше предыдущих, а тут получилось иначе.
Проблема с версией ворпдресс 4.7.1 решается довольно просто. Нужно ее обновиться до 4.7.2. Что я успешно и сделал. А вообще так меня эта ситуация первоначально насторожила.Я думал, что все пропало. Но нет. Пережил и этот случай. Так сказать все бывает в первый раз.
Последнюю запись, которую изменили хакеры просто вернуть в предыдущий вид. Для этого при ее редактировании нужно в редакции выбрать ту версию, которая была ранее. Но мне с этим немного не повезло. Мою статью хакеры уже редактировали минимум 3 раза, поэтому первоначальной версии не сохранилось. Слишком поздно я заметил взлом сайта на вордпрессе.
Даже пока я писал эту статью — они снова меня взломали через уязвимость и изменили запись. Хакеры написали следующее «Hacked By BALA SNIPER». Им заняться что-ли нечем. На моем не обновленном сайте тренируются и тренируются.
Проблема на данный момент уже решена. Вордпресс обновил, что и всем советую, если он у вас версии 4.7.1.
А с измененной статьей пришлось немного повозиться и заново ее вставлять на место. Хорошо хоть, что она сохранена на бирже Etxt.ru в архиве, где ее первоначально и заказывал.
Успехов и поменьше суматохи как у меня! Хотя может быть побольше подобных проблем. В итоге больше опыта наберетесь.
denrp.ru
SEO - Search Engines Optimization. СЕО
Всем привет!
Как и обещал, сегодня логическое продолжение истории про взлом сайта на движке Вордпресс. В тот раз неизвестный хакер или хакеры взломали сайт под управлением CMS WordPress, и залили на него шелл, благодаря чему был получен доступ ко всем остальным сайтам на сервере, и в файлах дополнительной конфигурации .htaccess была прописана переадресация на посторонние ресурсы. Тогда phpshell под видом файла user.php был залит в директорию /wordpress с соответствующей темой.
А выяснилось всё это благодаря посетителям женского сайта, которым вместо знакомой страницы стала открываться страница мобильных игр, очевидно, принадлежащая какой-то партнерской программе. Сделано было это по вполне понятной причине – сливе чужого трафика на платники и монетизации первого. Вот только способ для этого был выбран не вполне законный, а вернее, совсем противозаконный – взлом чужого сайта.
Поэтому бэкдор мы удалили и просмотрели логи на сервере. Так вот, анализ логов показал следующее:
название_сайта.ru 95.154.217.62 – – [ :02:16:57 +0400] “GET http://название_сайта.ru/wp-content/themes/twentyten/user.php? HTTP/1.1” 200 171 “http://название_сайта.ru/wp-content/themes/twentyten/user.php” “Mozilla/5.0 ( Windows; U; Windows 2003; MSNIA )” 0.161
Как видите, злоумышленник делает прямой запрос к файлу юзер.пшп со следующего ай-пи-адреса – 95.154.217.62. О том, что это именно и есть наш искомый взломщик говорит тот факт, что он напрямую обращается к указанному файлу, поскольку знает его точное местонахождение.
Об этом может знать только хакер, потому что в стандартном дистрибутиве Вордпресс файла user.php попросту нет. Не получив доступа на хостинг, он повторяет попытку через некоторое время, но уже с другого браузера:
название_сайта.ru 95.154.217.62 – – [ :03:32:09 +0400] “POST /wp-content/themes/twentyten/user.php HTTP/1.1” 200 176 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)” 0.060
[original:seo-semki.ru]
Затем через 50 минут еще раз:
название_сайта.ru 95.154.217.62 – – [ :04:21:01 +0400] “POST /wp-content/themes/twentyten/user.php HTTP/1.1” 200 176 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)” 0.056
После этого, видимо почуяв неладное, злоумышленник прекратил свои попытки проникнуть на хостинг.
Теперь посмотрим, что нам даст информация о его IP-адресе – 95.154.217.62:
Server Details
IP address:
95.154.217.62
Server Location:
United Kingdom
ISP:
Iomart Hosting Limited
Whois Server
Contact Email
Registrant
NorthEastComputerSystemsLimited_1UNITED KINGDOM
Administrative/Technical Contact
Ramon BaileyNorth East Computer Systems Limited3 Salters Road, GosforthNewcastle upon TyneTelephone: 441912859999
Картинки кликабельны – нажмите для увеличения.
Как видим, русскоязычный хакер (на что прямо указывают некоторые факты) действует с IP, который находится в Великобритании.
И кстати, прошлый раз я написал про то, что была взломана либо старая версия движка ВП, либо устаревшая версия плугина, благодаря чему взломщику удалось залить шелл на сайт. И поэтому как важно вовремя обновлять ЦМС до последних актуальных версий.
Так вот могу сказать, судя по анализу логов, взлом произошел не благодаря старой версии Вордпресса, а благодаря брутфорсу (то есть банальному подбору пароля в админку сайта). Кто помнит – не так давно прокатилась целая массовая брутфорс-атака на наиболее популярные версии систем управления сайтами – WordPress и Dle, а именно на их административные панели с целью подбора паролей администратора. Некоторые хостинг-провайдеры вследствие этого настоятельно рекомендовали своим клиентам сменить адрес их админ-панелей и/или закрыть их в директории с отдельным паролем (доступом).
Был ли угнан пасс тогда и использован только сейчас, или же взломан и сразу использован – уже не столь важно.
От этого обновление движка для защиты сайта не становится менее актуальным. Поскольку можно привести массу примеров, когда взлом происходил только от того, что хацкеры использовали различные бреши и уязвимости, которые разработчики благополучно закрывали в следующих версиях или с новыми патчами (как это обычно происходит с цмс ДЛЕ).
Но возвращаясь к теме подбора пароля к админке. Как же все-таки действовал взломщик в данном случае?
С уверенностью практически 100% можно сказать следующее: пароль сбрутили на автомате. То есть бот, или специально написанная программа, идет по заданным ей адресам либо ищет в сети сайты, отвечающие определенным критериям, например, содержащие сведения о версии и названии движка (DLE, Drupal, Joomla, WordPress), или же просто старается найти доступ к административным панелям по стандартным адресам (admin, administrator, wp-admin и т. д.) и взломать их, то есть подобрать пароль.
При успешном взломе бот информирует центр, что задание выполнено и отправляет данные для входа в админку. Далее уже в дело вступает хакер (это может быть вовсе и не хакер, а просто школьник, которому удалось подобрать пароль к сайту
В нашем случае взломщик, проникнув в админ-панель сайта, просто-напросто заменил содержимое стандартного файла 404.php, того самого, который выдает сообщение «Требуемый документ не найден – ошибка 404» на код шелла, благо это позволяет сделать обычный встроенный редактор тем. Далее он изменил его название на user.php, поскольку предыдущий файл уже отсутствовал в этой сборке.
Ну а далее произошло то, что произошло. Взломщик изменил содержимое всех файлов .htaccess, вписав туда директивы редиректов на посторонние ресурсы. Хорошо то, что это было обнаружено практически сразу после взлома, и в течение нескольких часов проблема была устранена.
Так благодаря чему стал возможен данный взлом, если можно так выразиться? Благодаря уязвимости в файлах движка Вордпресс? Как бы ни так! Такое стало возможным благодаря тому, что на взломанном сайте был установлен слишком легкий пароль (владелица даже не помнит какой).
Дело в том, что на сервере кроме данного сайта располагалось еще несколько десятков других сайтов. Часть из них работала, часть нет – они использовались либо для сбора статистики или какой-то другой информации, либо содержали какие-то с вои скрипты, либо были установлены просто так, «про запас», «на будущее». Так вот, те проекты, которые работали и приносили трафик, были надежно защищены, в том числе и от перебора паролей, а те, которые стояли без дела, «про запас», защищены были слабо!
Теперь вы смогли убедиться, как важно защищать все сайты, даже казалось бы такие, которые вами в настоящий момент не используются или используются мало. Логика тут простая – да кому он нужен такой сайт, без трафика, без контента, или с 1-2 униками в сутки. Кому нужно его ломать?
Но дело в том, что так рассуждаете вы, но бот так не рассуждает, он вообще не умеет думать. Он просто исполняет заложенную в него программу, а выполнив её, сообщает об этом своему хозяину.
А проникнув на один лишь сайт, даже, казалось бы, никому не нужный, и положив в него шелл, хакер может делать всё, что захочет, причем не только со взломанным, «никому не нужным» сайтом, но и со всеми остальными.
[original:seo-semki.ru]
Что можно посоветовать в таком случае? Самое очевидное – разнести все сайты на разные хостинги или под разные учётные записи. Держать на одном аккаунте не более пяти сайтов, а лучше 1-2, и в случае, если проект посещаемый, крупный, трастовый, вынести его на отдельный сервер. НЕ на выделенный свой сервер, на котором располагаются еще несколько других мелких сайтов (или несколько десятков), а именно под отдельную учетную запись, чтобы в случае взлома не рыскать по всему серверу среди сотен тысяч файлов, принадлежащих разным CMS, и думать, а какую же из сотен разных потенциальных уязвимостей эксплуатировал взломщик?
А все веб-проекты, которые созданы «просто так», «на будущее», тестовые сайты лучше вообще сразу отделить от остальных на отдельном хостинге, можно самом дешевом, ведь такие проекты, как правило, не несут никакой нагрузки, и поэтому не требуют слишком много ресурсов.
Ну и наконец, самое интересное, куда же отправлял мошенник посетителей, зашедших на взломанные сайты с мобильных устройств?
Как уже упоминалось выше, редирект шёл на ресурс mobleq.com. Погуглив, можно было также найти ссылки вида:
http://mobleq.com/e/4700
http://mobleq.com/js?id=5087
http://mobleq.com/e/4948
http://mobleq.com/e/4366
http://mobleq.com/e/5417
http://mobleq.com/js?id=4936&jsAlert=
и так далее. Посмотрим, куда же они ведут.
Сразу стоит отметить, что редиректы были двух видов. Зловред, видимо, по каким-то заданным ему критериям отбирал исходные ссылки и иногда ничего не отдавал пользователю, то есть показывал чистый лист. В этом случае перенаправление шло с ресурса mobleq.com на ресурс moblyu.com, например,
http://moblyu.com/m/MErT6yEM8P17y7bzdTQDfBMa2RV.
Но в основном перенаправление шло на moblea.net, в этом случае ссылка принимала такой вид:
http://mobleq.com/e/4700 => http://moblea.net/l/VTr7e5cA3asCJEGljuyV5pMbuot – сайт мобильных игр “Игры Mobile Market”, как в нашем случае.
Был в этом списке и лже-файловый хостинг “ДепозитФайлз” http://mobleq.com/e/1235 =>
http://moblea.net/l/S0uVGHC01v8Hbhj7eIOKG2nJn8N, “Файловый хостинг – deposit files простой веб-хостинг”
и обновление для мобильного браузера Опера http://mobleq.com/e/4948 =>
http://moblea.net/l/LsBMERb7EvcDc9StjCW8UkgzBCg
http://moblea.net/download?midlet_id=3&midlet_name=%D0%9C%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9+%D0%B1%D1%80%D0%B0%D1%83%D0%B7%D0%B5%D1%80&midlet_file_name=Browser_update_v7.5&auto=1#choose
http://moblea.net/download?midlet_id=3&midlet_name=%D0%9C%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9+%D0%B1%D1%80%D0%B0%D1%83%D0%B7%D0%B5%D1%80&midlet_file_name=Browser_update_v7.5&auto=1#choose |
и даже оптимизатор телефона http://mobleq.com/e/1237 => http://moblea.net/l/AhrgHTThojhl7UKoYl3hfojagF.
Но в основном данные редиректы содержали ссылки на видео для взрослых и порно:
http://mobleq.com/e/1234 “Ero Rutube Горячее видео”
http://moblea.net/l/89MFGnelRb1FUFU8b2xNesN4Os3
«Лучшее порно для мобильных устройств Best XXX»,
«Взрослые видюшки» http://moblea.net/l/56R8S7j77NFcdMgvrLKLyF3i46j
http://mobleq.com/e/4700 => http://moblea.net/l/Yttre6MWsJrizVAI7LnRt6Brmpo
«Лучшее XXX видео»
http://mobleq.com/e/1236 =>
http://moblea.net/l/L23VcGHLtqUP20GsNfHB0TKz9yR
«Уникальный сборник порно симуляторов!»
http://mobleq.com/e/1239
«Секс-знакомства
Самый быстрый способ найти партнера для секса!»
А вообще таких страниц очень и очень много, кому интересно, может сам проверить, подставляя ссылки вручную и меняя в них переменную в конце (цифры в урле после “e/”, например, /e/1234).
Как было сказано ранее, mobleq.com это только прокладка, а билит это всё богатство биллинг http://sms911.ru, поскольку именно их урл указан на странице договора оферты mobleq.com/offerta.html.
В следующий раз мы рассмотрим логическое завершение этой истории и поговорим про различные уязвимости сайтов, особенно сделанных на системе Вордпресс. Так что не пропустите.
И напоследок традиционный анекдот, на этот раз про компьютер.
– Мам, а у тебя компьютер в детстве был?
– Нет.
– А DVD?
– Нет.
– Ну а сотовый?
– Тоже нет…
– Мам, а ты динозавров видела!? 
Делитесь в комментариях своими соображениями по этому поводу и не забывайте жмякать на кнопки соцсетей слева, вам не трудно, а мне приятно. 
Читать похожие статьи:
seo-semki.ru
Кому нужен взлом Wordpress сайтов
Всем доброго времени суток и хорошего настроения. В предыдущей статье обещал рассказать о том, кто, как и зачем портит людям сайты, а если быть точным, хотелось бы рассказать о мотивах, людей, которые производят взлом WordPress сайтов.
Прежде чем писать статью, проштудировал массу материала. По сути, эта статья, обобщенная выжимка из всего прочитанного. Я надеюсь, человеку, который озаботился защитой своего блога, эта информация будет полезной.
Считаю, все-таки, важным понимание того, что вообще происходит и знать врага так сказать, если не в лицо, то хотя бы сбоку.
Почему взлом WordPress?
Итак, почему именно WordPress? Друзья – это самая популярная CMS в мире, которая распространяется бесплатно, которая очень проста в работе, имеет массу шаблонов, массу плагинов. Шаблоны очень просто «подогнать» под себя даже начинающему вебмастеру.
Масса блогов на WordPress очень успешны, и их хозяева зарабатывают неплохие деньги. Все больше людей, вдохновленных яркими примерами, предпочитают эту CMS каким либо-другим, или ручному написанию сайта на HTML.
Естественно найдутся люди, для которых такое положение вещей будет выглядеть своеобразным вызовом.
В пределах матрицы, они повсюду и нигде. Чтобы уцелеть, надо скрываться и ускользать от них. Они здешние церберы, они у каждого входа, у них ключи от всех дверей. Значит однажды им бросят вызов.
Монолог Морфея. Фильм «Матрица»
На самом деле мотивы хакеров могут быть весьма разнообразными. От банального «навредить» до меркантильного проникнуть и украсть информацию.
Давайте рассмотрим самые распространенные из них:
Первое
Взлом с целью «спортивного интереса», «мерянья пиписками» или «пробой пера» если хакер начинающий. Результатом является, потеря времени, на восстановление информации, усиление защиты блога. И потеря небольшого количества нервов — как же так, я стока пахал, а тут раз, вот гады и т.д.
Хочу сказать, кстати, что многие, этих хакеров, воспринимают как своеобразных санитаров леса. Т.е. они специально ищут уязвимости в популярных CMS, а потом за деньги продают их владельцам. Те, в свою очередь, сливают их разработчикам и дыры закрываются. Как бы, всем хорошо и дыру закрыли и деньжат люди заработали.
Посему, уважаемые вебмастеры, следим за обновлениями своего движка.
Второе
Взлом с целью, заразить вирусами, подсадить вредоносный код, разместить внешние ссылки и т.д. По результату ваш сайт, становиться как бы уже и не вашим. Причем это обстоятельство становится известным, когда сайт падает в рейтингах или еще чего хуже попадает в бан.
Как это происходит? Спросите вы! Отвечаю! Те же самые уязвимости в ПО, воровство паролей с помощью вирусов, и старый добрый брутфорс, от которого мы в основном защищались в предыдущей статье. Рекомендации по недопущению всего вышесказанного, читаем там же.
Брутфорс – метод взлома заключающийся в подборе логинов и паролей к админке, используя страницу авторизации, которая находится в общем доступе. Для атаки используется Ботнет.
Третье
Ну и последнее — это высший пилотаж. Взлом крупных сайтов компаний, государственных учреждений, и т.д. с целью похитить важную информацию либо временно заблокировать работу ресурса. Пациент долго изучается, анализируется, собирается информация о сервере. Потом наносится удар. Но нам это пока не грозит, посему и распространятся на эту тему особо не буду.
Результатом атаки может быть:
- увеличение нагрузки на сервер и сайт ложится или замедляется.
- логин с паролем успешно подбирается и «опаньки»...
На этом, друзья, буду заканчивать, статья получилась совсем небольшая, надеюсь ответ на вопрос – нафига кому-то нужен взлом WordPress сайтов вы получили. Ежели будут вопросы добро пожаловать в комментарии.
blogstarter.ru
