Уважаемые коллеги, хотим довести до вашего внимания не очень приятную активность хакеров, которые зачем-то пробрались в одну из дыр WordPress, установленного на нашем сайте, и воткнули в последнюю новость нехороший код, который грузит вирус-троян на компьютер пользователя. Насколько я понял, грузил вирус он именно при прочтении поста прямо на сайте, по поводу RSS сказать что-то трудно.
Узнали мы это только благодаря крайней осмотрительности и бдительности наших пользователей, причем первым стал cpcat (огромное спасибо также Маркетологу с сайта Идеи для бизнеса), которого мы за это признаем нашим читателем (и пользователем) месяца и всячески выражаем благодарность за внимательное отношение к интернет-контенту. Собственно, силами таких людей и можно удержать интернет от вредного влияния не очень довольных жизнью людей.
Немного о вирусе: обычный троян, ссылка на который была установлена через xml-rpc (дыра, которая до сих не закрыта сообществом WP, отчего просто удалена одна функция на нашем сайте), чистится большинством антивирусных программ, ввиду чего рекомендуем всем читавшим наш сайт сегодня с утра просканировать жесткие диски, причем, вне зависимости от того, обнаруживала или нет ваша программа вирусы на сайте. Я, на всякий случай, сменил все пароли.
От лица всего коллектива сайта хочу извиниться перед нашими читателями за данную неприятность: мы никогда не хотели причинить вред вашим компьютерам и вам лично, т.к. интересуемся совершенно иными вещами. Искренне надеемся, что в будущем это не повторится. В настоящий момент, проблема локализована, дыра забита гвоздями просто через удаление возможности использования xml-rpc. По всей видимости, это пока единственный способ решения проблемы для блоггеров, использующих платформу WP.
Теоретически, да. Хотя лучше все же знать уязвимости, а на форуме Вордпресса давно пишут, что «проблема решена», и этим заниматься не собираются.
Спасибо за информацию! Пошел смотреть, что там на моих блогах творится.
А вообще если регистрация отключена, то все нормально чтоли будет?
cpcat, не соглашусь с тобой — всегда лучше если не предупредить, то хотя бы вовремя поймать. Я потом форум начитался, там пишут, что в результате заражения код внедряется даже в саму тему, после чего его надо искать уже вручную, и понятно, что кочевать по сайту он будет очень долго. Ты вовремя среагировал, чем и нам репутацию спас (а также кучу времени сэкономил), и кусочек интернета помог быстро от вируса очистить. Спасибо огромное тебе, так держать!
Ух.. Наверное, один сердитый коммент всё же не тянет на поступок месяца, но всё равно приятно:)
P.S. У меня Opera+NOD32.
Спасибо за инфу!
О как! Спасибо за предупреждение!
За ненадобностью, я его пока удалил — всегда из стандартной инсталляции вернуть можно. Пусть решают, я, как незаинтересованный, подожду.
Его еще можно переименовать.
Кстати, простите, коллеги блоггеры, сообщаю подробности:
Подробнее о дырке можно почитать на форуме WP. Она существует с полгода уже, но если долистать до последней страницы (на данный момент, их три), можно увидеть, что дыра не закрыта до сих пор даже в версии 2.5 и хакеры ей стандартно пользуются.
Выглядит мой случай вставки вируса следующим образом: прямо в тело записи был вставлен код
— он вызывал скрипт на другой стороне (китайский сервер, но к национализму это никак не относится), который загружал пользователю трояна. У меня не сработало, видимо, Firefox отсек, у cpcat вызвало предупреждение.
Внедряется код зарегистрированным пользователем через xml-rpc (файл xml-rpc.php), причем вне зависимости от того, есть права на написание или нет. Я вот думаю, не удалить ли десяток последних аккаунтов, чтобы паранойю поддержать.
Решение было простым (правда, временным) — вырезать код из тела записи и удалить файл с дыркой. Вроде бы помогло.
А подробнее можно? Что за дырка конкретно?