vell
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Дошло до меня, что через дыру в WP, мне залили shell, который меняет .htaccess. Несколько поздновато, но пока не страшны последствия, к тому же предпринял некоторые меры, но не могу найти саму оболочку. Ищу, как знают все, по совету http://habrahabr.ru/company/sprinthost/blog/125839/ но во-первых, логи мне доступны только те, что высылаются по почте хостером custom_log.previous и error_log.previous, в них строки например такие (на 31.07): 193.0.212.119 - - [31/Jul/2012:03:13:15 +0400] "GET / HTTP/1.0" 200 7455 "http://hdonly.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 4.0) Opera 7.0 [en]" 95.168.172.156 - - [31/Jul/2012:03:36:48 +0400] "GET / HTTP/1.0" 200 7455 "http://newigroteka.rolevaya.info/" "Mozilla/4.0 (MSIE 6.0; Windows NT 5.1; Search)" 80.28.254.179 - - [31/Jul/2012:06:41:05 +0400] "POST /wp-login.php HTTP/1.0" 200 3450 "http://МОЙ/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0.1) Gecko/20100101 Firefox/8.0.1" 89.111.177.207 - - [31/Jul/2012:08:15:04 +0400] "POST /wp-cron.php?doing_wp_cron=1343708102 HTTP/1.0" 200 0 "-" "WordPress/3.3.1; http://МОЙ" и много еще чего, как видите трафик идет на какие-то левые сайты, свой сайт я обозначил как "МОЙ" Так как сами логи я поставил присылать мне с 24го, а подозрения появились 24го, так что я не могу быть уверенным, когда изменили мне .htaccess. Снова в нормальный вид я его вернул утром 01.08.2012. В ненормалном был RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC] RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC] В base64 я ничего в файлах не нахожу, может по не опытности, может и нету (скачал себе, для прочёски) в логах только 25го засечено так: "39827" [Wed Jul 25 00:14:19 2012] [alert] [client 84.51.100.106] /www/МОЙ/www/htdocs/wp-includes/.htaccess: Missing </Files> directive at end-of-file А вот файл wp-admin\js\edit-commentsn.php которого нет в штатном дистрибутиве меня насторожил, в нем я увидел красоту, eval(base64_decode("Ly84NzNhZj и дальше много много буквоцифр, которые расшифровываются с помощью base64.ru во что-то более читаемое, там после перекодированных букво-цифр идет код $auth_pass = "63a9f0ea7bb98050796b649e85481845"; $color = "#df5"; $default_action = 'FilesMan'; $default_use_ajax = true; $default_charset = 'Windows-1251'; preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28' и так далее Попытался я его сохранить а мен авира ругнулась,там вирус PHP/Shell.G.1 Но опять же, я не вижу ссылок на этот файл (видимо так же зашифрованы) Аналогичное дело с wp-includes\js\tinymce\plugins\inlinepopups\skins\clearlooks2\img\horizontala.php В самом wp я установил exploit-scanner он примерно то же что и я сделал, выделил и упомянутый файл. Толку от него не много, но подчеркивает мол, обрати внимание. По опыту, может кто подскажет сужение направление поиска? Или, если найдено ЭТО, то как порубить и хвосты? | Всего записей: 600 | Зарегистр. 06-10-2004 | Отправлено: 14:15 01-08-2012 | Исправлено: vell, 14:48 01-08-2012 |
|