[Инфо] Взлом вордпресс!

Тема в разделе "Wordpress", создана пользователем MikeSol, 6 сен 2009.

Статус темы:
Закрыта.
Модераторы: DzSoft, Sorcus
  1. MikeSol

    MikeSol Постоялец

    Регистр.:
    13 апр 2008
    Сообщения:
    80
    Симпатии:
    18
    Всем доброго дня.
    Вчера тысячи блогов на вордпресс были взломаны.
    /%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%
    такая ссылка была приклеена ко всем полным новостям, т.е. получилось site.ru/2009/08/27/ssilka-na-novost/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/ вместо обычной site.ru/2009/08/27/ssilka-na-novost.
    Чтобы исправить проблему делаем следущее:
    1. Идём в Настройки->Постоянные ссылки (ЧПУ)
    видим что кто то исправил вид чпу на вот такой:
    /%year%/%monthnum%/%day%/%postname%/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
    Исправляем назад, на то что было ранее.
    2. Переходим к пользователям, там обнаружится больше пользователей с административными правами, чем обычно.
    3. Провести мышкой над каждым, чтобы вычислить последнего зарегистрировавшегося.
    4. У этого пользователя правым кликом скопировать ссылку Редактирование/Edit и вставить его в адресную строку, увеличить номер на 1.
    5. Вы должны получить скрытого админа со странным кодом в поле Имя. Удалите код, чтобы понизить его статус до Подписчика, затем снова перейдите к Пользователям и удалите его.
    И не забываем обновляться.
     
  2. Bereza

    Bereza

    Регистр.:
    9 май 2007
    Сообщения:
    222
    Симпатии:
    69
    Возникло 2 вопроса...
    В какой версии исправлено? Как исправить не обновляясь?
     
  3. Деймос

    Деймос

    Регистр.:
    29 ноя 2008
    Сообщения:
    228
    Симпатии:
    53
    Прочитал пару блогов и форумов, понял только одно, уязвимость идет с версии WordPress 2.2.3 и выше, до 2.8.4, не понял только одно - это уязвимость грозит всем, или только тем у кого открыта регистрация?

    На счет устранения уязвимости ЮБ пишет:
    Берем из дистрибутива 2.8.4 файл /wp-includes/vars.php и подкладываем своему WP.

    Или в имеющемся файле после строки
    $pagenow = $self_matches[1];
    добавляем
    $pagenow = trim($pagenow, '/');

    Сам не пробывал, отзывов (помогает или нет) об этом исправлении пока не слышно :-(
     
  4. zagrenat

    zagrenat

    Регистр.:
    26 дек 2006
    Сообщения:
    243
    Симпатии:
    59
    у меня регистрация закрыта, но все равно штук пять юзеров админов появилось.

    затер всех нафиг через майадин, там сразу видно кто есть кто в таблице _users колонка user_status у админа 0
    хотя может и путаю права и это не они )
     
  5. Деймос

    Деймос

    Регистр.:
    29 ноя 2008
    Сообщения:
    228
    Симпатии:
    53
    А как они регистрируются, если рега закрыта? Какой WordPress стоял... Какие то файлы новые появились в папке с WordPress'ом?
     
  6. zagrenat

    zagrenat

    Регистр.:
    26 дек 2006
    Сообщения:
    243
    Симпатии:
    59
    хм..
    WordPress 2.7.
    файлы не проверял

    все что прочел на Перейти по ссылке так и не дало ответа как сломали )

    добавил конечно
    $pagenow = trim($pagenow, '/');
    а будет ил инет работать время покажет
     
  7. MasterMarti

    MasterMarti Постоялец

    Регистр.:
    6 июл 2008
    Сообщения:
    104
    Симпатии:
    44
    Проверил свои блоги.

    Чисто. Версии разные, начиная с 2.5, заканчивая 2.8.2.

    На всех блогах регистрация закрыта по умолчанию.

    Ребят, кто заражен, скажите одно - регистрация на блоге была открыта? То есть страшна ли эта ерунда при закрытой регистрации?
     
  8. duncan

    duncan батяр з личакова

    Регистр.:
    10 апр 2007
    Сообщения:
    1.596
    Симпатии:
    441
    мой взломали...
    только так и не понял в чём собственно "взломанность"...
    добавило к всем ссьілкам єтот код и что?..
     
  9. b2farm

    b2farm

    Регистр.:
    17 фев 2008
    Сообщения:
    498
    Симпатии:
    197
    ну вообще "загранцы" пишут, что после взлома червяк самовольно постит ссылки в записях и не более. т.е. ничего не удаляет и каких-то диких "членовредительств" не делает.
     
  10. SADmin

    SADmin Читатель

    Заблокирован
    Регистр.:
    4 авг 2009
    Сообщения:
    55
    Симпатии:
    0
    Прочел но не понял как убрать и как его сделать чтоб не вломали!
     
Статус темы:
Закрыта.