Атака на WordPress сайты

Октябрь 20, 2013   Александр Маврин   24 комментария

ВирусЗдравствуйте, уважаемые друзья, товарищи. В очередной раз столкнулся с проблемой. Не так давно у меня взломали компьютер, но с этим я благополучно разобрался. А теперь еще блог подвергся атаке. Но это проблема не у меня одного, это происходит повсеместно. Многие хостинг-провайдеры зафиксировали массивную атаку на WordPress сайты в последнее время. Я думал, что это меня никак не коснется, ведь пароли-то у меня теперь надежные и вдобавок к этому, хостер поставил на все WP сайты дополнительную авторизацию. То есть, чтоб попасть в админ-панель блога, нужно ввести логин и пароль во всплывающем окне. которое появится при обращению к серверу, а потом логин и пароль к админке.

Все началось с того, что в один прекрасный момент вместо блога я стал наблюдать белый экран. Доступ был только по FTP. Сначала подумал, что что-то глюкануло. Отключал плагины, темы, но результата не дало. Тогда решил заменить папки wp-admin и wp-includes на свежие.  И тут же блог заработал в штатном режиме, я был доволен результатом и продолжил заниматься своими делами. Но через несколько часов это повторилось снова и метод перезаписи файлов уже не сработал. Про атаку на WordPress сайты я думал в последнюю очередь и тем временем перебирал другие возможные варианты решения проблемы.

Но час ИКС настал и мне пришлось думать о худшем. Мне следовало бы сразу заглянуть в логи на сервере, но я же не ищу легких путей. 🙂 В логах было обнаружено большое количество обращений к странице авторизации wp-login.php. Вот одна из строчек в лог файле:

184.22.197.197 - - [18/Oct/2013:00:01:20 +0400] "POST /wp-login.php HTTP/1.0" 200 41 "http://serblog.ru/wp-login.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.8.131 Version/11.10"

Кто-то упорно ломился на мой блог. Это так называемый брутфорс. Другими словами — подбор паролей. Но просмотр логов ошибок на сервере открыл мне глаза на все происходящее. В корне блога у меня есть папка, в которой установлен WP, я там что-то тестировал. Так вот, в одной из папок движка было обнаружено 6 вредоносных файлов с зашифрованной информацией и с них шли запросы на страницу wp-login.php. 3 файла с расширением php и 3 без расширения. Вот скриншот содержимого одного из php файлов:

Код вируса

Зашифрованная строка невероятно длинная. Сам файл весил 90.1 кб. и находился он по этому пути:

/wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img/fa6.php

Файлы были засунуты так далеко, да еще и в папку с изображениями, что я вряд ли когда-то бы их нашел. А вот как они туда попали — остается только догадываться. После удаления файлов блог тут же заработал. не исключено, что подобный инцидент может снова повториться, поэтому нужно ставить какую-то защиту от этого. Решение есть и их несколько. На серче есть тема, посвященная этому, рекомендую почитать, если тоже столкнулись с такой проблемой. Многие рекомендуют вносить некоторые изменения файла htaccess для защиты. Напишите в комментариях заметили ли вы на своих сайтах что-то подозрительное.

Не стесняйтесь делиться записью в социальных сетях. Спасибо


24 комментария
  1. Мне несколько раз взламывали сайты.
    Я хостинг реселлер, начинал на freehost.com.ua, на одном из сайтов клиента я обнаружил шелл, т.е. мог просматривать весь диск провайдера. Обратился в саппорт, вместо помощи они мне блокируют доступ как по фтп так и по http. В ходе долгой и нудной переписке они наконец открыли мне доступ по фтп, а очистку файлов от вредоносного кода возложили на меня, т.е. ни какой технической помощи я от хостера не полцучил, мотивируя это тем, что взломаны сайты а не сервер. Впечатление от работы с freehost.com.ua осталось мерзкопакостное. Перешел на fatcow.com, там тоже были взломаны сайты, но провайдер указал мне пути к вредоносным файлам, вся проблема решилась в течении получаса. Так что выбор хостера одна из самых важных проблем вебмастера.

    • Да, хостинг подобрать не просто. Сам менял хостеров много раз. И реселлингом тоже занимался, но потом меня вежливо попросили съехать, так как мой аккаунт стал потреблять много ресурсов. Муторное это дело. Надо иметь свой сервер, чтобы ни от кого не зависеть и строить серьезный бизнес на этом с нормальными вложениями и командой профессионалов. А ресселлинг — это игрушки.
      На одном из сайтов я тоже находил вредоносный код и успешно от него избавился.

  2. Папка wp-includes полностью заменяется при обновлении движка, просто чаще обновляйте.
    С фрихост работал уже давно, но перестал после фразы кого-то из начальства «я же не могу обновлять по, только из за вашего сайта, у меня тут … сайтов и я волнуюсь чтобы они не пропали». Печальный хостинг, но может это было раньше я на них подзабил уже лет 7-8 как.

    Сейчас пользуюсь из недорогих ukraine (ukraine.com.ua)

    Иногда использую mirohost.net там где на хостинг денег не жалко

    Оба хостинга хороши.

    Для Drupal пробую хостинг хамелеона, вроди скорость у них улетная и админы умнички, сложные вопросы помогают решать, вплоть до поиска шелов в самых неожиданных местах. Дальше можно почитать у них ссылка на друпал хостинг:
    bighameleon.com/uslugi/uslugi-hostinga
    Чтобы ускориться с покупкой хостинга, удобнее всего связаться с менеджерами.

    • На вашем месте я бы воздержался от рекомендации хостинга. Раньше тоже советовал, но каждый раз с хостером случался какой-нибудь гемор и перед людьми не удобно. В последний раз было так, что хостинг полностью был неработоспособен в течении недели, за что потом получил компенсацию в виде 100 рублей. Пришлось валить оттуда как только сервер заработал. Раньше не мог, бекапа на руках не было.

  3. Сергей:

    у меня второй день сайт недоступен. На хостинге предупреждали, что какая-то перегрузка идет. Только сейчас поддержка не отвечает даже. Что делать даже не знаю. 😯

  4. Я на днях наехала на техподдержку хостинга из-за того, что все мои сайты по несколько раз в день становятся на какое-то время недоступны. Они мне дали скриншот логов, что кто-то пытался подбирать пароли. Посоветовали запретить тем IP доступ. Но айпи сменить, как нефиг делать, да и адресов этих может быть очень много. Не заниматься же целыми днями отслеживанием и внесением в код запрета всех тех, кто посылал запрос к админке.
    Я сменила адрес страницы входа и админки, никаких массированных атак в логах не отмечено, а сайты все равно, нет-нет, да и станут вдруг недоступными. Уже голову сломала, что бы еще такого сделать «волшебного».

    • Если у них в логах зафиксированы подозрительные действия, значит так оно и есть. Но причина зависания сайтов может быть и в другом. Многие хостинг компании, предоставляющие виртуальный хостинг, грешат этим. Клиентов хочется набрать побольше, а ресурсов часто не хватает на всех, вот сервера и перегружаются. Могу лишь посоветовать почитать о том, как правильно выбрать хостинг.

      • Я на этом хостинге почти четыре года. Проблемы начались только недавно. У меня там 6 сайтов и 2 на поддомене. Все это на другой хостинг перетаскивать совершенно не хочется. Один-то переустановить — мороки сколько! Да и не факт, что на другом лучше будет. 🙁

        • Вот, вот, у меня тоже так же было. Длительное время все было хорошо и не было никаких проблем, а потом начались и стали очень регулярными. Мне тоже переезд особых радостей не доставляет, но зато научился делать это быстро, в максимально короткие сроки и с минимальными потерями. Выходит, что во всем есть свои плюсы. 😉

    • Попробуйте увеличить оперативную память в php.ini
      Я когда впервые в него залез, там вообще стояло 16 мб

  5. Поставьте плагин Simple Login Lockdown. После нескольких попыток перебора паролей, вход в админ-панель c IP злоумышленника блокируется на 1 час.

  6. В wp-admin ставиться .htaccess вот с таким кодом
    order deny,allow
    deny from all
    allow from 176.184.101.105

    где задается ваш ай-пи адрес и проблем больше нет!
    Единственный недостаток — приходиться перед заходом в админ панель менять адреса, так как они динамические, меняются ежесуточно, но зато надежность сильно возрастает!

  7. У меня сайты мониторятся на доступность, а защита в случае шухера не только блокирует злыдней, но и пишет письмо на почту о попытке, в этом случае переименовывал файk wp-login (обычно брутфорс случался на выходные )но эффект от брутфорса дывает как DDos и сайт просто отключался. Сейчас вроде всё поутихло, ни вордпресс ни джумлу не трогают, скорее всего друпал будет следующим

  8. Иван:

    Всем здравствуйте. Я в сайтостроении новичек и хотел бы узнать: с какого языка мне начать учиться? Если кто может помочь в освоении языка буду очень признателен . Напишите на почту
    email: imshishov2012@yandex.ru
    или в скайпе::иван224
    Заранее всем спасибо.

    • Начните с HTML и CSS. Каким образом вам помочь в освоении? 🙂 тут главное — желание.

    • Я бы не советовал вам зацикливаться на изучении языков программирования, если только вы собираетесь зарабатывать на создании сайтов.
      Создание сайта и его монетизация вещи абсолютно разные.
      Научится создавать сайты не сложно, а вот научится на них зарабатывать, вопрос посложнее.

  9. Юрий:

    Вечер добрый! У меня постоянно брутфорс. Как выяснить нет ли какого то файла как Вы говорили

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *