На сайте в статьях начали появляются ссылки на чужие сайты
Я не профессионал в wordpress. Подскажите где и с чего начинать искать уязвимость?
Сайт скорее для души так что статей на нем мало. Бекапы делаю раз в месяц.. Плагины обновляю гдето раз в неделю. Тойсть все плагины в актуальном состоянии
Список активных плагинов:
-
Breadcrumb NavXT
-
Google XML Sitemaps
-
Мета слайдер
-
Platinum SEO Pack
-
RusToLat
-
Table of Contents Plus
-
TinyMCE Advanced
-
VKontakte API
-
W3 Total Cache
-
Wordfence Security
-
WordPress Related Posts
-
WP-PageNavi
-
WP-PostRatings
-
WP-PostViews
-
WP Smush.it
список неактивных плагинов
-
Login LockDown
-
Optimize DB
-
P3 (Plugin Performance Profiler)
-
Smooth Scroll Up
-
WP-Optimize
В логах Wordfence Security нашел кучу запросов к несуществующим страницам
/wp-content/plugins/simple-download-button-shortcode/simple-download-button_dl.php?file=../../../../wp-config.php
/wp-content/plugins/tinymce-thumbnail-gallery/php/download-image.php?href=../../../../wp-config.php
/wp-content/force-download.php?file=../wp-config.php
....
Как я понимаю тут искали уязвимые плагины (Наверное у них получилось).
Подскажите с чего начинать расследование?
Проверьте для начала ваш шаблон на вшитые исходящие ссылки плагином Theme Authenticity Checker (TAC). Он сканирует файлы и выдает результат. Активировал, проверил и деактивировал, на случай если часто шаблоны меняете.
Шаблон я сам писал.. Я сравнивал все фалы с локальной копией. Он не был изменен.
Всю ночь разбирался с логами и пытался изучать их. Все запросы с этого ip заканчивались ответом 404 и 403(у меня доступ к wp-admin открыт только для моего ip).
А последний ответил 200
IP - - [16/Jan/2015:04:01:42 +0200] "GET / HTTP/1.0" 200 8417 "http://offer.jimmy.com/wp-content/themes/lote27/download.php?download=../../../wp-config.php" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/535.19 (KHTML, like Gecko) Ubuntu/11.10 Chromium/18.0.1025.142 Chrome/18.0.1025.142 Safari/535.19"
Я не могу понять что это.. Какое отношение offer.jimmy.com имеет к моему сайту.
В самих статьях этих ссылок нету.. Но они появляются при просмотре статьи.. Допустим слово холодильник ссылается на какую-то банерную сеть.. Смотрел какие js скрипты сайт подгружает, не нашел нечего странного .
Это единственный мой сайт и если они повредят базу данных я не уверен что смогу ее восстановить. Не думал вообще что кому то нужно взламывать сайт с таким количеством просмотров и с нулевым тиц и пиар..
Советую сайт просмотреть как незарегистрированный пользователь. Какой класс или стиль у ссылок? Плюс надо бы базу проглядеть, может там вредоносный код лежит. Плюс, возможно "шел" где то лежит и подружает фигню всякую. А вообще, если начинается такая ерунда, такие IP сразу баню на уровне сервера.