Кейс: удаление дорвея

Довольно часто с помощью статистики вебмастера обнаруживают посторонний трафик на свой сайт. Посетители приходят по «левым» поисковым запросам на сотни страниц сайта, которые веб-мастер даже не создавал.

В нашем случае посетители приходили на страницы типа:

http://наш-сайт/gc/rent-35490.php

На FTP каталог gc не был обнаружен.

Первым делом посмотрели файл .htaccess в корне сайта. Вот его содержимое:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^gc(.*)$ /wp-includes/js/ui/$1 [L]
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress

Видно, что 5 строка совсем не относится к WordPress, а перенаправляет обращения к каталогу gc. Не трудно догадаться, что сайт взломали.

В каталоге /wp-includes/js/ui/ был обнаружен скрипт, который с помощью функции curl подгружал дорвей с домена злоумышленников.

Таким образом, дорвей состоял всего лишь из 2 файлов, что затруднило его обнаружения веб-мастером.

На сайте был также обнаружен бэкдор.

В данном случае причиной взлома стал банальный брутфорс админ-панели. Достаточно было сменить пароль, удалить бекдор и дорвей.

Если вам нужна помощь в удалении бекдоров и дорвеев, то вы можете оставить заявку.

Помните, что устранить последствия взлома может быть не достаточно. Например, с помощью уязвимостей злоумышленники могут повторить взлом. Необходимо выявить и устранить причину взлома.

В рубрике: Malware, Wordpress, Спам.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *