Взлом WordPress. HTTP_REFERER в url.
Левый админ
Зайдите на страницу со списком пользователей и посмотрите, соответствует ли количество админов реальному количеству.
Если админов больше, чем должно быть, то нужно найти лишнего и истребить. Некоторые говорят, что «левый» админ всегда последний. Тогда можно открыть на редактирование профиль последнего, с максимальным ID, видимого в таблице юзера, поменять руками в адресной строке user_id на следующее число (скажем, было user_id=2, делаем user_id=3) и если в поле «Имя» обнаружится нечто странное (<div id=»user_superuser»><script language=»JavaScript»>) и/или роль будет «Администратор», очистить это поле и сохранить профиль. После этого юзер должен появиться в таблице во всей красе. Аналогично можно убрать маскировку через phpmyadmin в таблице wp_usermeta (разумеется, если есть навыки работы напрямую с БД).
(Всё вышеизложенное является обобщением прочитанного в Сети и мною на практике не проверялось в связи с отсутствием левых админов на моих сайтах)
Юрий Белотицкий
aka Baron Bela
У меня таких инцидентов пока не было и дай бог, чтобы никогда не было! НО за полезную информацию в любом случае спасибо и обязательно буду иметь ввиду!
Спасибо за статью. Оказалось меня взломали. Точнее сайт, который я давно делала.
Подскажите как снять маскировку скрытых админов? Их несколько. В базе данных их не вижу.
Если в базе админов не видите, значит это что-то иное, не то, что описано в посте. Слёту на Ваш вопрос ответить почти невозможно. Давайте вынесем обсуждение на форум https://ru.wordpress.org/support/ Там много хороших специалистов, в т.ч. и по безопасности.
Это сложнее, но похоже залезли через ftp, пользовался total comander, там оставались пароли. Больше никаких зацепок.
Теперь юзаю Win SCP, вроде спокойнее
🙂
Да, я тоже обратил внимание, что ссылка похожа, но она не в постах, а в ID пользователя.
В любом случае я его грохнул и это уже хорошо 🙂
Грохнуть — дело святое. Но обязательно надо постараться найти щель, через которую он пролез, и выяснить, не оставил ли он чего-нибудь типа бэкдора.
Пару месяцев назад каким-то сумбурным образом (менялся движок, причем сразу на нескольких сайтах) появился второй админ.
Сейчас прочитал этот пост зашел в Пользователи и увидел в адресной строке для этого пользователя расширение следующего характера — http://site.ru/wp-admin/user-edit.php?user_id=1&wp_http_referer=%2Fwp-admin%2Fusers.php
Сразу обратил внимание на http_referer. Затем, как здесь написано, попытался изменить в адресной строке ID пользователя, после нажал Enter и выскочило сообщение, что неверный ID пользователя. Откатил назад.
После этого удалил его стандартным способом — он был виден в общем списке и была опция удалить. Единственное, что при удалении разрешил переписать все записи этого пользователя на первого пользователя по умолчанию. До удаления оба пользователя были админы, видны в списке и т.д.
Хотелось бы узнать, это был действительно взлом, о котором здесь написано, или это просто моя паранойя?
Перед тем, как появился этот второй админ, сайт действительно был заражен, зловредов обнаружил хостер и сам, все удалял, убивал под ноль. Единственное, что базы руками не трогал.
Похоже, но не совсем. В описанном взломе ключевым моментом является смена урлов постов на экзотический. Однако, самозваный админ, получив права, может (да по уму и должен) поменять ЧПУ обратно, чтобы не вызывать подозрений. Вы же увидели http_referer совсем в другом месте. Так что возможно механизм появления второго админа был какой-то другой. Тем более, что самозванец не спрятался (хотя возможно в Вашей версии WP маскировка просто не сработала). Но в любом случае самопроизвольное появление второго админа — плохая примета.
Если у вас паранойя, то это не значит, что за вами не следят. (народная мудрость)
От блин эти хакеры, задолбали уже меня полностью
Ага, задолбали. Как и спамеры, норовящие втюхать ссылку на свой говносайт любым способом. 🙂
Здравствуйте. Сегодня на одном старом блоге обнаружил второго админа, но не невидимого, а вполне видимого с замечательным именем readmin. который был конечно удален… конечно зделано было не ради интереса, поставили скрипт, достаточно хитрый. так заходишь, его не видно, только когда по поиску с гугла например, появлялась реклама на (не буду называть что, а то акишмет не пропустит). Еще легко отделался. Пора менять пермишн на файлы теплейтов и плагинов. уж лучше на локальной машине, а потом по фтп.
версия вордпреса на тот момент 2.82
Извиняюсь что много написал — под впечатлением:)
Юрий, правильно ли я понимаю, что официальной рекомендации от разработчиков вордпресса о том как закрыть дыру, кроме как обновиться до 2.8.4, до сих пор так и не было?
Если быть точным, то не «до сих пор«, а «на момент написания поста«. Впрочем, одно другому не противоречит. Честно скажу: не смотрел.
Спасибо, меня взломали именно таким макаром, сейчас почти все восстановил, но так все паскудно сделано. Не все же гении кодинга, кто-то просто пишет в блог…
На то они и хакеры, чтоб ломать. Вот несколько заголовков с Секлаба:
А я удалил, через phpmyadmin, удалил просто подозрительного пользователя из таблицы wp-users, у меня их не много, так что его вычислить была не проблема. Так пройдет?
Ага. Только еще надо подчистить табличку wp_usermeta.
У меня 31 августа вдруг пришло письмо что мол новый пользователь зарегистрировался на вашем блоге. ну я тут же его и удалил. При этом отключил регистрацию пользователей. Лишних админов не заметил. Ссылки вроде работают нормально. Какие еще могут быть подводные камни?
Боюсь, даже Создатели не смогут дать исчерпывающий ответ. Пока камни не превратятся в г… и не всплывут — не узнаешь.
Что-то в последнее время много багов в ВП накопали и в паблик выложили. С учётом того, что далеко не все обновляются своевременно, всё как-то не особенно радужно.
а как удалить пользователя левого (у меня аж два зарегено) — если не видны они? показывает — админов 3 , но выводится только 1. который я.
Я же написал как снять маскировку. После этого они должны замечательно удаляться штатным образом.
Т.е. число администраторов указанное в скобочках увеличивается на одного фейкового, но если зайти в список админов то их там будет меньше?
Да. Но возможны и варианты. У lecactus`а вообще чёрт те что нарисовалось.