Помощь Взломали последнюю версию wp

[k0missar]

Значит на мой сайт была загружена страница BankOfAmerica.html с кодом

<meta HTTP-EQUIV="REFRESH" content="0; url=http://attorney-online.de/safe-ssl.bankofamerica.com/index.htm">

после чего хостер заблокировал сайт письмо

Спойлер

Здравствуйте.

В адрес Вашего сайта waytospain.ru поступила жалоба, текст которой приведён ниже. Сайт отключен в целях предотвращения мошенничества (получения личной и финансовой информации). Пожалуйста, свяжитесь с нами когда вы будете готовы устранить нарушения.

[English Version Follows]

Уважаемый господин или госпожа!

Вследствие нашей деятельности банк Bank of America и/или его родственные компании приобрели значительную репутацию в сфере банковских и финансовых услуг по всему миру, а наш торговый знак и брэнд (далее «Знаки») зарегистрированы и/или используются в Соединенных Штатах Америки, а также во многих странах мира.

Мы обнаружили веб-сайт или переадресацию на веб-сайт, размещенные в Вашей сети, который выдает себя за веб-сайт банка Bank of America или его родственной компании.* Указанный сайт(ы) использует наши Знаки, наводя посетителей на мысль о том, что данный веб-сайт пользуется спонсорской поддержкой или одобрением банка Bank of America или родственной организации* банка Bank of America, тогда как на самом деле такая спонсорская поддержка или одобрение не имеет места.

Этот сайт просит посетителей предоставить важную личную или финансовую информацию. Мы убедились в том, что данная веб-страница НЕ уполномочена и не одобрена банком Bank of America и/или его родственными компаниями. Использование наших Знаков подобным образом, вероятно, может ввести общественность в заблуждение, понуждая ее верить в то, что указанный веб-сайт связан с банком Bank of America, или что мы как-либо иначе поставляем через него товары и услуги.

Как Вам известно, поддельные веб-сайты наподобие указанного обычно являются частью более крупной преступной схемы, нарушающей ряд федеральных, местных и международных законов. Мы просим Вас о немедленном содействии в прекращении деятельности этого веб-сайта и несанкционированном использовании им наших Знаков.

Продолжение функционирования указанного веб-сайта может не просто нанести существенный ущерб нашей репутации и деловым связям, но и создать впечатление того, что Ваша сеть сотрудничает со стоящими за указанным веб-сайтом мошенническими целями.

Убедительно просим Вас оказать нам содействие в немедленном закрытии указанного веб-сайта.

URL - Для просмотра ссылки Войди или Зарегистрируйся

IP адрес - 91.218.229.13

В качестве части такой меры просим Вас переадресовать весь направляющийся на указанный веб-сайт трафик на следующий адрес сетевого ресурса:

Для просмотра ссылки Войди или Зарегистрируйся

Это даст потребителям возможность получить разъяснительную информацию о фишинг-мошенничестве. Информацию о реализации переадресации на данную страницу можно найти по адресу:

Для просмотра ссылки Войди или Зарегистрируйся

Просим направить данное сообщение вместе с Вашим ответом непосредственно на phishing@bankofamerica.com. Заранее благодарим Вас за содействие в прекращении фишинг-мошенничества и непозволение использования Вашей сети для противоправной деятельности.

Спасибо.

Группа противодействия противоправной деятельности
Bank of America
Контактный адрес электронной почты: anti-phishing@bankofamerica.com

*К родственным компаниям банка Bank of America относятся следующие брэнды:
MBNA
Merrill Lynch
Countrywide
Military Bank
LaSalle
Fleet

Стоит последняя версия вордперсс и тема взята с буржунета, а точнее вот эта _thetraveltheme.com может из за нее поплатился? ведь она хороша и бесплатна а тема я так понимаю буржуйская т.е. ломали не наши и тема буржуйская. Если есть знающие могу дать доступ к фтп

wordpress последней версии

 

[Ergoline]

ну если тебя успокоит поделюсь как я чуть параноиком не стал).
залили в начале декабря шелл - узнал от платона. устранил достаточно быстро. а через месяц сделал знакомой визитку. и тут она говорит что аваст начинает вслух разговаривать. ну я просто слил на винт, там все снес и начал заново все ставить - позже оказалось что этот антивирус среагировал на ложное поле для спаммеров.
Но... пока я искал джава вирус, я нашел в теме, в разделе ее хелпа - целую цмс!!! без мускула посвященную е-сигаретам.
учитывая что цмска все таки не инстальнулась, то думаю это или турки или наши чего то недомутили.
Пойми, да нулили скорее всего на западе, а вот варезники, или журналисты для них - это наши...:snegurochka:
как и шелл который таки был залит через неактивную(!) тему (ну или там находился)
одно радует какие исполнители - такое исполнение.
и на будущее используй файле монитор + - не давно про нее вопросы задавал
Так что рано еще

 

[efs]

в шаблонах WP есть уязвимость, курим ссылку Для просмотра ссылки Войди или Зарегистрируйся

 

[ReBeL]

в шаблонах WP есть уязвимость, курим ссылку Для просмотра ссылки Войди или Зарегистрируйся

в СТАРЫХ шаблонах, использующих старую версию timthumb.

 

[efs]

в СТАРЫХ шаблонах, использующих старую версию timthumb.

дык неизвестно какой давности шаблон у ТС, пусть проверится. про эксплойт в последней версии WP вроде не слышно. про используемые плагины не говорит, пляшу от того что есть.

 

[Красавчег]

Дык что, просто заменить содержимое своего timthumb.php на Для просмотра ссылки Войди или Зарегистрируйся ??

 

[3xmaster]

Дык что, просто заменить содержимое своего timthumb.php на Для просмотра ссылки Войди или Зарегистрируйся ??

Если разрабами темы не был изменён этот файл, тогда да. Иначе - нужно сравнивать чего и как меняли-добавляли.

 

[k0missar]

thetraveltheme.com я изначально привел сайт-шаблон, здесь его можно посмотреть и скачать можно здесь же! если кто может посмотите изначально ли этот шаблон со всякой хренью поставляется или же нет!

 

[Bohica]

Как то то же намохался, ломанули сайт, загрузили хрени с 300 мб под всякие картинки. Сам бы не заметил, хостер начал ругаться за избыточный трафик, а сайт вообще малопосещаемый. Когда делал очередной бэкап, увидел что общий размер файлов папок вордпресса непомерно большой. Перепроверил всё. В базах всё было чисто. Косяк в шаблоне, который брал где то типа шаблоны руссифицируют. Там свинью и подложили. Взял оригинал и руссифицированный исходник, сравнивал, толком ничего не нашел. Выручил плагин TAC (Theme Authenticity Checker) он то и нашел подставы в шаблоне.
TAC (Theme Authenticity Checker) ссылки на офф вордпрессе есть.

 

[ReBeL]

Косяк в шаблоне, который брал где то типа шаблоны руссифицируют. Там свинью и подложили. Взял оригинал и руссифицированный исходник, сравнивал, толком ничего не нашел. Выручил плагин TAC (Theme Authenticity Checker) он то и нашел подставы в шаблоне.
TAC (Theme Authenticity Checker) ссылки на офф вордпрессе есть.

Использование нулленых и локализованных не Вами лично плагинов и шаблонов иногда приводят к подобным последствиям. Сейчас на вскидку не вспомню, но один из сайтов с русскими шаблонами давно подобным грешил - несколько шаблонов я лично оттуда смотрел на предмет стороннего кода. Вшивалось в несколько мест сразу ифрэймы и ссылки ..... Как совет - используйте доверенные источники, перепроверяйте в любом случае или заказывайте платно кому-либо, чтобы потом было с кого спросить =)