WordPress как на ладони
wordpress jino

На сайте в статьях начали появляются ссылки на чужие сайты

Я не профессионал в wordpress.  Подскажите где и с чего начинать искать уязвимость?

Сайт скорее для души так что статей на нем мало. Бекапы делаю раз в месяц.. Плагины обновляю гдето раз в неделю. Тойсть все плагины в актуальном состоянии

Список активных плагинов:

  1. Breadcrumb NavXT

  2. Google XML Sitemaps

  3. Мета слайдер

  4. Platinum SEO Pack

  5. RusToLat

  6. Table of Contents Plus

  7. TinyMCE Advanced

  8. VKontakte API

  9. W3 Total Cache

  10. Wordfence Security

  11. WordPress Related Posts

  12.  WP-PageNavi

  13. WP-PostRatings

  14. WP-PostViews

  15. WP Smush.it

список неактивных плагинов

  1. Login LockDown

  2. Optimize DB

  3. P3 (Plugin Performance Profiler)

  4. Smooth Scroll Up

  5. WP-Optimize

В логах Wordfence Security нашел кучу запросов к несуществующим страницам

/wp-content/plugins/simple-download-button-shortcode/simple-download-button_dl.php?file=../../../../wp-config.php

/wp-content/plugins/tinymce-thumbnail-gallery/php/download-image.php?href=../../../../wp-config.php

/wp-content/force-download.php?file=../wp-config.php

....

Как я понимаю тут искали уязвимые плагины  (Наверное у них получилось).

Подскажите с чего начинать расследование?

0
Гость 2.8 года назад
  • 0
    BigDimoz12 cайт: pribylvseti.ru

    Проверьте для начала ваш шаблон на вшитые исходящие ссылки плагином Theme Authenticity Checker (TAC). Он сканирует файлы и выдает результат. Активировал, проверил и деактивировал, на случай если часто шаблоны меняете.

    nitrofox 2.8 года назад

    Шаблон я сам писал.. Я сравнивал все фалы с локальной копией. Он не был изменен.
    Всю ночь разбирался с логами и пытался изучать их. Все запросы с этого ip заканчивались ответом 404 и 403(у меня доступ к wp-admin открыт только для моего ip).
    А последний ответил 200
    IP - - [16/Jan/2015:04:01:42 +0200] "GET / HTTP/1.0" 200 8417 "http://offer.jimmy.com/wp-content/themes/lote27/download.php?download=../../../wp-config.php" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.19 (KHTML, like Gecko) Ubuntu/11.10 Chromium/18.0.1025.142 Chrome/18.0.1025.142 Safari/535.19"
    Я не могу понять что это.. Какое отношение offer.jimmy.com имеет к моему сайту.

    В самих статьях этих ссылок нету.. Но они появляются при просмотре статьи.. Допустим слово холодильник ссылается на какую-то банерную сеть.. Смотрел какие js скрипты сайт подгружает, не нашел нечего странного .

    Это единственный мой сайт и если они повредят базу данных я не уверен что смогу ее восстановить. Не думал вообще что кому то нужно взламывать сайт с таким количеством просмотров и с нулевым тиц и пиар..

    campusboy 2.8 года назад

    Советую сайт просмотреть как незарегистрированный пользователь. Какой класс или стиль у ссылок? Плюс надо бы базу проглядеть, может там вредоносный код лежит. Плюс, возможно "шел" где то лежит и подружает фигню всякую. А вообще, если начинается такая ерунда, такие IP сразу баню на уровне сервера.

    Комментировать
На вопросы могут отвечать только зарегистрированные пользователи. Регистрация. Вход.