Comments 40
Спасибо! Проверился — ничего нету. А через что проникает?
Вот неизвестно.
Была информация, что проникает через timthumb.
Его используют темы от elegantthemes.
Если какие-нибудь плагины используют его старые версии, то лучше отказаться, или обновиться на последнюю версию.
Мне хочется думать, что это была естественная дырка в моих сайтиках.
Была информация, что проникает через timthumb.
Его используют темы от elegantthemes.
Если какие-нибудь плагины используют его старые версии, то лучше отказаться, или обновиться на последнюю версию.
Мне хочется думать, что это была естественная дырка в моих сайтиках.
Подлый вирус GetMama пожрал кучу сайтов на вордпрессе.
Мы очень активно работаем с WordPress, ни одного сайта у нас никто не «пожрал», мне стало интересно, погуглил по запросу GetMama, кроме темы на хабре очень сложно что-то найти, если поискать подольше можно найти аж 4 обращения на официальном форуме WordPress.
Эпидемия, не меньше.
В elegantthemes эту дыру закрыли еще пол года назад, всех тех у кого были лицензионные версии — просили обновится. Если не ошибаюсь этот вирус еще и права на файлы менял?
И я вам расскажу, как это почистивать сущность в виде гномика.
All you base are belong to us!
Я долго не мог понять, что же за беда приключилась. Для этого бывает полезно подключить яндекс.метрику или аналогичную следилку от гугла, который будет по электронке сообщать о вредоносном коде на сайте.
К сожалению, яндекс.метрика скажет мне о наличии вредоносного яваскрипт кода. А если пхпшный код спамит напропалую, то на фронтэнде это никак не отразится к сожалению, и яндекс тут не поможет.
У меня вот яндекс орёт-орёт на вп, а косяков я так найти и не могу…
rsync (к примеру) поможет определить.
Для него, наверное всё-таки нужен полный бэкап?
У меня его, к сожалению нет.
У меня его, к сожалению нет.
Нет, тут как раз не полный, а инкрементальный нужен. В первый раз он сделает полную копию, а в остальные разы будет получать только модифицированные и новые файлы (обычно с каждой новой датой в новую папку).
Хотя, вот этот вариант мне больше нравится. Git в самый раз.
Хотя, вот этот вариант мне больше нравится. Git в самый раз.
Имел в виду вот этот habrahabr.ru/post/143375/#comment_4804633
можно поставить мониторинг времени открытия сайта — и как только станет в 2-3 раза больше обычного (в течение периода больше чем 5 минут, например, можно сразу алертить). WEBO Pulsar так умеет.
Вывод тупей некуда:
Не храните скрипты с правами того же пользователя и группой от которой они запускаются.
Залили себе вп, човн, и запускаем. Тогда никакая гетмама не запишет в ваши файлы ничего, тупо не сможет.
Не храните скрипты с правами того же пользователя и группой от которой они запускаются.
Залили себе вп, човн, и запускаем. Тогда никакая гетмама не запишет в ваши файлы ничего, тупо не сможет.
И тогда ничего не получится залить\отредактировать через админку.
Юзеры будут в восторге!
Юзеры будут в восторге!
шаблоны оставьте, а вот пхп скриптам стоит поменять права точно. Или там шаблоны использут нативный пхп код?
Там — не знаю. Могу сказать про MODx Revo — у него есть возможность выносить все что угодно в файлы. Но по умолчани шаблоны и прочее лежит в БД.
А юзерам в директории надо заливать картинки, возможно редактировать css. Мне как программисту регулярно нужно и по *.php полазить.
К тому же, в современных CMS есть возможность установки расширений сразу из админки — для этого нужна возможность записи в директории любых файлов, в том чисел и php.
Вообще, это хорошая мысль на продакшене на *.php права менять — надо приучиться. Но нужно смотреть на движок и конкретную ситуацию, как используется сайт, и кем.
А юзерам в директории надо заливать картинки, возможно редактировать css. Мне как программисту регулярно нужно и по *.php полазить.
К тому же, в современных CMS есть возможность установки расширений сразу из админки — для этого нужна возможность записи в директории любых файлов, в том чисел и php.
Вообще, это хорошая мысль на продакшене на *.php права менять — надо приучиться. Но нужно смотреть на движок и конкретную ситуацию, как используется сайт, и кем.
Используют, да.
В целом нефиг через админку править файлы с кодом, по моему скромному мнению.
В целом нефиг через админку править файлы с кодом, по моему скромному мнению.
Деобфусцированный код: http://pastebin.com/wU8drdrG
" alt=«image»/> 
У товарища был случай, зараза проникала (какая-то другая) через SFTP клиент, в момент выгрузки. Заразен был исполняемый файл FTP клиента WinSCP.
Больше интересует, каким образом, через какое место wp был заражен? Если это реальная дырка в безопасности, то это повториться.
Используйте систему контроля версий, сразу будете знать что где случилось и сможете восстанавливать работоспособность + повестье не крон реагирование если вдруг какой-то файл на продакшн изменился или не под системой контроля оказался
Как прошло само заражение сайтов?
Я писал в комментариях выше:
habrahabr.ru/post/143375/#comment_4804522
Но не факт, что эта дыра — единственная.
habrahabr.ru/post/143375/#comment_4804522
Но не факт, что эта дыра — единственная.
есть один хороший плагин для wordpress:
wordpress.org/extend/plugins/wordpress-file-monitor-plus/
он следит за изменениями файлов и в случае обнаружения изменений — алертит вам на почту какие файлы были изменены и когда. можно настроить и исключения. запускается с выбранной периодичностью. имел дело со взломами сайта на теме от elegant themes — пришлось немного стать параноиком в этом вопросе)
wordpress.org/extend/plugins/wordpress-file-monitor-plus/
он следит за изменениями файлов и в случае обнаружения изменений — алертит вам на почту какие файлы были изменены и когда. можно настроить и исключения. запускается с выбранной периодичностью. имел дело со взломами сайта на теме от elegant themes — пришлось немного стать параноиком в этом вопросе)
на днях имел подобную проблему, но мне нужно было несколько сайтов вылечить. Плагин WP File Monitor мне на глаза вовремя не попался и я написал подобную тулзу сам: blog.nkuznetsov.me/2012/11/wpdiff-tool-for-wordpress-comparison.html
лежит на гитхабе. представляет из себя отдельную либу, можно встроить куда надо: хоть в плагин к WP, хоть из консоли использовать. показывает diff-ы в виде html с подсветкой
лежит на гитхабе. представляет из себя отдельную либу, можно встроить куда надо: хоть в плагин к WP, хоть из консоли использовать. показывает diff-ы в виде html с подсветкой
Sign up to leave a comment.
Борьба с WordPress-червём GetMama