Производство фотообоев в Новосибирске. Интернет магазин фотообоев. Изготовление - один день! Каталог 10 000 изображений!
26 Октябрь 2012

Взлом wordrpess через уже взломанный сайт

posted in security |

Снова сработал «поставок» установленный на ранее взломанном сайте.
На этот раз у хакера цель уже другая — подбор пароля к wordrpess сайтам (работа с другими движками аналогична) через уже взломанный сайт (мой).
В данном случае «бомбят» сайты расположенные на доменах 3его уровня вида *.com.au
(добавлено чуть позже, когда ещё один постовок сработал: «бомбят» вообще всё подряд — похоже базу доменов прочекали на признаки WP и теперь бомбят)
Поставок простой — при «закидывании» через POST запрос какого либо задания — оно не выполняется, как хотел бы того злоумышленник, а сохраняется для дальнейшего его анализа мною.
Кому интересно — скрипт к посту прилагается — изучайте (подозреваю мой сайт ломали таким же способом)
До кучи скину 3 разновидности скрипта, занимающиеся поиском и взлом «соседей» по хостингу (в случае плохой защищённости, например отсутствия OpenBaseDir).
host-hack-1.php
host-hack-2.php
host-hack-3.php
Т.к. все эти скриптики мне кинули добровольно, причём с не добрым умыслом — думаю имею моральное право их обнародовать 🙂

Ну и сам внедрённый post.php через который и кидаются на исполнение все вышеобозначенные скрипты ( не правда ли — очень простой 🙂 )

Далее цепочка думаю понятна — сайт ломается, в него внедряется post.php — и сам сайт становится звеном для взлома других. Далее всё работает в бесконечном цикле подменяя массив паролей.
Параллельно можно на взломанных сайтах подменить htaccess для сбора мобильного или поискового трафа, можно доров туды залить и через TDS уже тематический траф слить куда-нить, можно …….. в общем чего «выжать» с рабочих сайтов думаю вариантов куча

Ну вот — спалил рабочую тему зачем-то.

У нас 4 комментария на запись “Взлом wordrpess через уже взломанный сайт”

Почему бы Вам не высказать своем мнение! Позвольте нам узнать, что Вы думаете...

  1. 1 On 26.10.2012, Вадим said:

    Так я до конца не понял, вас взломали, и сказали по-доброте душевной как. Или вы присекли попытку взлома? И еще вывод какой, как веб-мастерам защищаться?

  2. 2 On 26.10.2012, GTAlex said:

    сайт взломали — я нашел как, нашел что внедрили и слегка подменил код — теперь наблюдаю чего через бэкдорчик люди шлют — анализирую и вам выкладываю к размышлению

  3. 3 On 31.10.2012, Вячеслав said:

    Очередной эксплойт. Обновляйте движок и взломов будет реже.

  4. 4 On 06.11.2012, performia said:

    а у меня доступ к сайтам имет 3 человека (к ftp в том числе),я на линуксе, остальные на винде, и кто то из них занес вирус на хост, и теперь все мои сайты завирусованы были, пришлось чистить файлы, а то они делали редирект на какие то другие сайты ((

Оставить комментарий