X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Хакнули сайт на WP
Rombi
Rombi
Topic Starter сообщение 31.12.2012, 0:22; Ответить: Rombi
Сообщение #1


Зашел на сайт и увидел вот такое сообщение.
Стоит WP с оф. сайта. Шаблон сделан в Артистире, в нем вряд ли шеллы.
Ставил только 2 плагина через админку: lightbox-plus и nivo-slider-for-wordpress. Думаю, что шеллы в них. Плагины скачал и прикрепил.
Посмотрите, пожалуйста, в них ли дело.

Как еще можно узнать каким образом ломанули сайт?
Прикрепленные файлы
Прикрепленный файл  plugins.zip ( 1,28 мегабайт ) Кол-во скачиваний: 27
 


--------------------
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
RSmile
RSmile
сообщение 31.12.2012, 0:27; Ответить: RSmile
Сообщение #2


(Rombi @ 31.12.2012, 0:22) *
Как еще можно узнать каким образом ломанули сайт?


Логи почитать.


--------------------
Безлимитный SSD-Хостинг. Рекомендую! Месяц бесплатно!
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Rombi
Rombi
Topic Starter сообщение 31.12.2012, 0:52; Ответить: Rombi
Сообщение #3


У этого хостера по ходу логи не ведутся...


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alonso91
alonso91
сообщение 31.12.2012, 1:06; Ответить: alonso91
Сообщение #4


обычные дефейсеры, сталкивался, ТП ничего внятного на хостинге не сказала....
Такое отслеживается по дате изменения файлов. Вордпресс стоял последней версии?

УПД. Второй плагин с заразой, jpicker-1.1.6.min.js. обычно файлики слииишком уж большого размера имеют такую каку.

Сообщение отредактировал alonso91 - 31.12.2012, 1:09


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Rombi
Rombi
Topic Starter сообщение 31.12.2012, 1:13; Ответить: Rombi
Сообщение #5


Там не только дефейс. Зашел в папку с шаблоном, открыл файл footer, а там сверху копирайты ДЛЕшные и Notepad сказал, что файл невозможно открыть.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
ricky
ricky
сообщение 31.12.2012, 1:14; Ответить: ricky
Сообщение #6


Пароли меняйте на фтп доступ, на админку. на cpanel или directadmin, что там у вас, антивирусом систему проверьте откуда работали.
Если плагины качали через админку с офф сайта, мало вероятно, что через них.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Rombi
Rombi
Topic Starter сообщение 31.12.2012, 1:15; Ответить: Rombi
Сообщение #7


Хм, НОД еще ругается на какой-то файл, удалить нельзя
Оперативная память = C:\Program Files (x86)\MocaFlix\sprotector.dll - модифицированный Win32/SProtector.A потенциально нежелательная программа - очистка невозможна


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alonso91
alonso91
сообщение 31.12.2012, 1:19; Ответить: alonso91
Сообщение #8


Rombi, убили плагин - перезаливайте заново начистую тему и сам ВП, на всякий случай.

А пароли скорее всего нетронуты... шоколята просто эксплуатируют уязвимость под именем админа, им и пароль тырить не имеет смысла.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Rombi
Rombi
Topic Starter сообщение 31.12.2012, 1:34; Ответить: Rombi
Сообщение #9


Да уж, хорош подарочек на НГ.
Хорошо, что на ВПС сайт не залил, а взял обычный хост)
Просьба к разбирающимся людям, посмотрите файлы в аттаче.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
KipiaSoft
KipiaSoft
сообщение 31.12.2012, 7:17; Ответить: KipiaSoft
Сообщение #10


(Rombi @ 31.12.2012, 0:22) *
Как еще можно узнать каким образом ломанули сайт?

попробуйте запустить айболита _http://revisium.com/ai/
Нечто подобное с его помощью лечил, а точнее находил все зараженные файлыи менял их на "чистые" из бэкапа сайта.
после того как почистите от заразы, меняйте права доступа на файлы, которые подверглись заражению (больше чем уверен, что это все файлы index.php и файлы темы на 444 или 0444.
Я таким образом лечил даже без изменения паролей на ftp и хостинг. Хотя, после того как почистите заразу пароли тоже изменить не лишним будет.

P.S. можно еще по датам изменения файлов посмотреть на предмет какие файлы подверглись заражению. Сейчас у Вас явно файлы темы заражены (изменены), смотрите index.php, footer.php, header.php
P.S.....Да и домашний комп еще бесплатной утилиткой от доктора веб проверьте, но днодом нои периодическая проверка антивирсником других производителей никогда не помешает

Сообщение отредактировал KipiaSoft - 31.12.2012, 7:29


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Сайт врача стоматолога/ортодонта.
4 alnsam 1506 Вчера, 15:02
автор: alnsam
Открытая тема (нет новых ответов) Сайт не индексируется в Google без добавления ссылок в адурилку
1 Nekit 456 17.3.2024, 3:25
автор: malamut
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыКакой сайт пробовать создавать под небольшое ГЕО?
6 kapusta1 1195 15.3.2024, 13:06
автор: OS_ZP_UA
Открытая тема (нет новых ответов) Ваш сайт блокирует Роскомнадзор?
20 hollywooduk 4672 13.3.2024, 11:18
автор: hollywooduk
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыПродам сайт финансовой тематики
0 Prok 636 12.3.2024, 18:11
автор: Prok


 



RSS Текстовая версия Сейчас: 19.3.2024, 10:29
Дизайн