Снова сработал «поставок» установленный на ранее взломанном сайте.
На этот раз у хакера цель уже другая — подбор пароля к wordrpess сайтам (работа с другими движками аналогична) через уже взломанный сайт (мой).
В данном случае «бомбят» сайты расположенные на доменах 3его уровня вида *.com.au
(добавлено чуть позже, когда ещё один постовок сработал: «бомбят» вообще всё подряд — похоже базу доменов прочекали на признаки WP и теперь бомбят)
Поставок простой — при «закидывании» через POST запрос какого либо задания — оно не выполняется, как хотел бы того злоумышленник, а сохраняется для дальнейшего его анализа мною.
Кому интересно — скрипт к посту прилагается — изучайте (подозреваю мой сайт ломали таким же способом)
До кучи скину 3 разновидности скрипта, занимающиеся поиском и взлом «соседей» по хостингу (в случае плохой защищённости, например отсутствия OpenBaseDir).
host-hack-1.php
host-hack-2.php
host-hack-3.php
Т.к. все эти скриптики мне кинули добровольно, причём с не добрым умыслом — думаю имею моральное право их обнародовать 🙂
Ну и сам внедрённый post.php через который и кидаются на исполнение все вышеобозначенные скрипты ( не правда ли — очень простой 🙂 )
Далее цепочка думаю понятна — сайт ломается, в него внедряется post.php — и сам сайт становится звеном для взлома других. Далее всё работает в бесконечном цикле подменяя массив паролей.
Параллельно можно на взломанных сайтах подменить htaccess для сбора мобильного или поискового трафа, можно доров туды залить и через TDS уже тематический траф слить куда-нить, можно …….. в общем чего «выжать» с рабочих сайтов думаю вариантов куча
Ну вот — спалил рабочую тему зачем-то.
4 комментария на «“Взлом wordrpess через уже взломанный сайт”»
Так я до конца не понял, вас взломали, и сказали по-доброте душевной как. Или вы присекли попытку взлома? И еще вывод какой, как веб-мастерам защищаться?
сайт взломали — я нашел как, нашел что внедрили и слегка подменил код — теперь наблюдаю чего через бэкдорчик люди шлют — анализирую и вам выкладываю к размышлению
Очередной эксплойт. Обновляйте движок и взломов будет реже.
а у меня доступ к сайтам имет 3 человека (к ftp в том числе),я на линуксе, остальные на винде, и кто то из них занес вирус на хост, и теперь все мои сайты завирусованы были, пришлось чистить файлы, а то они делали редирект на какие то другие сайты ((