Перейти к содержимому

MOAB

- - - - -

Счастливым обладателям прекрасного Вордпресса


  • Войдите, чтобы ответить
Сообщений в теме: 4

#1 Spinne

Spinne

    Зануда™

  • Основатель
  • PipPipPipPipPip
  • 2 011 сообщений
3 434
  • Излесу, вестимо

Отправлено 02 Август 2015 - 15:22

Коротко: на всякий случай проверьте свои сайты на наличие постороннего скрипта. Его зовут mailgo.php и располагается он в корне (но не исключено, что есть копии еще где-нибудь). Если вдруг обнаружите, то это, естественно, последствия взлома.

Подробнее: получил целую пачку писем, имитирующих обращения потенциальных клиентов, коллекторских агентств, Альфа-банка, Сбербанка etc. Общая черта: у всех в заголовках
X-PHP-Script: www.domain.tld/mailgo.php
и у всех в теле пара ссылок на тот же скрипт с параметром name (скорее всего проверка актуальности адреса – если кликнули, значит письмо дошло, а получатель достаточный лопух, чтобы кликать по ссылкам в спаме). Все жертвы на Вордпрессе, взлом явно "индустриальный", поиском по имени скрипта нашел весьма свежие обсуждения такого же спама. :) Так что проверка лишней не будет.

И несколько слов об "индустриальных" взломах ВП – что-то они совсем косяком пошли. Есть общие черты:
- массовые закладки в начале php-файлов (примитивный скрипт с обфускацией, позволяющий выполнить php-код, отправленный POST-запросом). Между открывающим <? и началом кода вбито 255 пробелов – видимо, чтобы труднее было заметить.
- закладки в библиотечные скрипты в /wp-includes/ - могут быть лишние файлы, закладки в начале (аналогичный загрузчик кода), закладки в середине (восстановление файлов в корне при любом обращении к сайту)

Творцам собственных скриптов для сканирования взломанных сайтов: можете добавить в списки масок для поиска "закладок" вот такую:

$GLOBALS[$GLOBALS[

Это еще один громоздкий, но интересный вариант обфускации. Встретите - разберетесь :)
Ник не менял, подпись поменяю позже. Ваш Зануда. Он же AHP-net, но это уже там

#2 Van'Denis

Van'Denis

    Продвинутый

  • Участник
  • PipPipPip
  • 256 сообщений
410

Отправлено 23 Август 2015 - 20:43

Цитата

"индустриальных" взломах
Можно подробнее? Что это?..

#3 Zla13

Zla13

    Почетный

  • Основатель
  • PipPipPipPipPip
  • 3 048 сообщений
3 738

Отправлено 23 Август 2015 - 23:47

Это когда сломали сразу дохера. Ты пускаешь сопли и злишься, а они о тебе даже и не слышали, ибо сразу овер 9000 поломали.

#4 Van'Denis

Van'Denis

    Продвинутый

  • Участник
  • PipPipPip
  • 256 сообщений
410

Отправлено 24 Август 2015 - 00:42

Просмотр сообщенияZla13 (23 Август 2015 - 23:47) писал:

Это когда сломали сразу дохера. Ты пускаешь сопли и злишься, а они о тебе даже и не слышали, ибо сразу овер 9000 поломали.
Спасибо. Понял.
Остались подозрения, что проблема глубже... Подожду ответа Учителя.

#5 Spinne

Spinne

    Зануда™

  • Основатель
  • PipPipPipPipPip
  • 2 011 сообщений
3 434
  • Излесу, вестимо

TC Отправлено 24 Август 2015 - 20:17

Чего ждать, всё уже ответили. Подробнее?

Выбирают конкретную уязвимость движка или распространенного плагина. Сочиняют скрипты, использующие эту уязвимость. Собирают большой список сайтов на этом движке, запрягают несколько "зомби-серверов" – и взлом поставлен на поток.

Естественно, при таком индустриальном подходе все случаи взлома схожи, как изделия с конвейера. Одни и те же "закладки", одни и те же внедренные скрипты для рассылки спама (генерации дорвеев на сайте, расстановки ссылок, установки вирусных загрузчиков, недостающее дописать). Часто и имена файлов с "заразой" одинаковые.

И в логах одинаково видны следы периодических обращений к внедренным скриптам. Точнехонько по расписанию – а это значит, что на сайте хозяйничает не живой реальный взломщик, а сервер. Скорее всего тоже взломанный. Все в автоматическом режиме.
Ник не менял, подпись поменяю позже. Ваш Зануда. Он же AHP-net, но это уже там



Похожие темы


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных



© 2020 SMO&SEO форум «WEBIMHO» — продвижение и создание сайтов, интернет-маркетинг

По вопросам рекламы на форуме и цены на рекламу
Все материалы SEO форума разрешены к копированию только с установкой гиперактивной ссылки на webimho.ru,
тем, кто этого не сделает, мы оторвем руки и ноги и поменяем местами,
а когда выйдем из тюрьмы, опять оторвем и опять поменяем.


Россия, г. Москва

Мы в соцсетях: twitter | вконтакте | facebook | livejournal