На секлабе проскальзывала новость о том, как удаленно скинуть пароль админа в вп.
Если кратко, то вот так:
wp-login.php?action=rp&key[]=
И вот уже червячок появился.
Что делает. Подставляет свой код, расположенный на другом сервере и выполняет его. Уязвимы версии до 2.8.4
Проверяемся
Беглый осмотр.
Если все ссылки или фид стали со странными дополнениями вида
eval(base64_decode($_SERVER[HTTP_REFERER]))
или вроде, в админке в разделе пользователи появилась такая картина
, т.е. пользователей два, а вверху показывается три, это не глюк вп, это хитрый яваскрипт скрывает третьего пользователя от вас. На скрине и второй пользователь тоже через дырку добавлен ))
Далее проверяем на иньекцию в базе:
grep -H -r “eval(base64_decode” /var/lib/mysql grep -H -r “var setUserName = function” /var/lib/mysql
Если есть совпадение, то значит база заражена. Также можно проверить папки на инлюд функции:
grep -r -i "function gpc_" ./*
У себя три блога нашел взломанных. Проверить наличие левых администраторов в блоге
Лечимся.
- Правим пермалинки.
- Далее из таблицы wp-usermeta.php запоминаем все id юзеров с meta_key — ‘first_name’.
- Потом сносим их из wp_users.
- Удаляем их также и из wp-usermeta.php
7 responses
Do you want to comment?
Comments RSS and TrackBack Identifier URI ?
Trackbacks