Взлом WordPress + СПАМ = МНОГО ТИЦ!
Сегодня обнаружил, что один мой блог на WordPress попал под АГС. Блог не обновлял около месяца, возраст около 6 месяцев, 20 записей, было в индексе около 100 страниц. Ни сапы, ни какой-либо другой код не ставил. Нажимаю на чудо плагин RDS Bar для Chroma и вижу – кол-во исходящих ссылок по Bink 5. Жмакаю и обнаруживаю ссылки на непонятные мне сайты. Начал смотреть записи, ничего не обнаружил. Жму просмотр кода и вижу следующую картину:
От куда они взялись – не понятно. Самое ахуенное: style="text-decoration: none; color:inherit"
. Это просто гениально! Практически во всех записях вставлены ссылки! Как, откуда они появились мне до сих пор не известно. Пробил бэки сайтов по «яху», в основном спам и такие же ссылки в блогах на WordPress. А вот картинка которая вам понравится:
Это те самые сайты, на которые появились ссылки без моей помощи.
Итог, ломаем WP, спамим и получаем гору ТИЦ. Сменил, после, все пароли, хотя думаю не поможет. Все старые пароли были 10-значные и сгенерированы спец.сервисами, я их даже сам не запоминаю=). Век живи, век учись! Проверяйте все свои сайты на WordPress =).
textmind
20 Мар, 2023
Было у меня нечто подобное. Эти пять ссылок в ПЕРВЫХ пяти записях блога?
Если, да то скорее не взлом, а кое что другое. Шаблоны паблик были?
Farllok
20 Мар, 2023
textmind, да паблик, скачаный с wp.ком, что другое?
Hoster
20 Мар, 2023
проверьте комп на вирусы! У меня тож такое было!
textmind
20 Мар, 2023
Попробуй посмотреть файл single.php
Есть какие-нибудь переменные после строчки
ID) ?>
Если есть удали вывод функции после этих строк. У меня в этом проблема была. Заманался тогда блог чистить, тоже не мог понять в чем дело, даже перестанавливать пытался.
Farllok
20 Мар, 2023
Hoster, замечено только на одном сайте из 15.
textmind
20 Мар, 2023
php не отобразился(((
Необходимо удалить муть после bloqinfo(S post->ID) если она там есть.
Ильдар Хакимов
20 Мар, 2023
А не в самом шаблоне прописаны ссылки?
Farllok
20 Мар, 2023
textmind, нет, с шаблоном все в порядке.
Alex
20 Мар, 2023
Плагин TAC поставь и посмотри, что скажет.
Возможно есть eval код под base64 декодированием либо экстрим с ZendEncodero-м.
Crypt
20 Мар, 2023
Farllok, textmind,
Подскажите, пожалуйста, что именно написанно после bloqinfo(post->ID) и что нужно удалять? Так как у меня есть какой-то код после bloqinfo(post->ID)
В PHP не силен, поэтому буду рад, если скажите, что именно является «левым» кодом.
Спасибо!
Farllok
21 Мар, 2023
Crypt, Если есть какой-то код после bloqinfo(post->ID, удали вывод функции после этих строк. А лучше поставь плагин TAC, он проверяет файлы каждой темы в папке themes на наличие нежелательного кода и покажет что удалить.
Alex, ничего не обнаружено, я вручную проверил весь шаблон.
Victor
10 Июл, 2023
А темы у тех сайтов, что были «взломаны» разные? Может все-таки фишка в темах?
Александр
30 Июл, 2023
Возможно в теме находятся какие нибудь скрытые ссылки, они раньше возможно были а сейчас проиндексировались
Euro
6 Авг, 2023
О, ссылки это опаснее даже чем то, что случилось со мной недавно.
Какой-то вирус залил на все мои сайты свой index.php с надписью, что меня взломали хакеры из группы HP-Hack. Благо, в WordPress index.php для всех одинаковый, поэтому я довольно быстро всё это исправил.
Renar
11 Окт, 2023
Как wp взломали определил?
bloginblog
16 Окт, 2023
Встречал я такой способ накрутки ТИЦ. Ссылки окружены ява скриптом и невидимы. Пути проникновения не знаю, но ТИЦ поднимают очень быстро – за один ап до 100ТИЦ. Найти спамеров не сложно, достаточно пройти по форумам, кто поднимает ТИЦ 100 – тот и спамит))). Ссылки лепят только в WP и независимо от тем. Очень много шабов попадает под спам, которые сделаны на Артисти