Przeglądając jakiś czas temu statystyki jednej ze stron założonych na wordresie kursy online. Zauważyłem dziwne wejścia z wyszukiwarek, na hasła, których nigdy w nim nie używałem…
Wtedy zajrzałem do kopi strony przechowywanej przez google. Okazało się, że google widzi moją stronę odrobinę inaczej. Na jej początku znajdowały się jakieś linki. Wpisałem adres mojej strony w narzędziu do wykrywania Cloakingu i rzeczywiście. Dla wyszukiwarki moja strona, na samym początku przed nagłówkiem miała jakieś linki. Nie ma wątpliwości, było małe włamanie 🙂
Wyglądało to tak jak na screenie:
Szukam więc miejsca – dziury, gdzie sie mógł włamać. Pierwszą sprawą było sprawdzenie daty edycji plików, potem popatrzyłem czy przypadkiem nie ma jakichś dziwnych plików na serwerze, ale nie było.
Kolejno przeszukałem zawartość plików pod katem tych linków, szukałem też słowa google (bo przecież jakoś musi ten skrypt reagować na robota google). Nie znalazłem jednak nic, przeszukałem zatem też bazę danych. Też nic dziwnego w niej nie znalazłem.
Następnie zgrałem całkowicie nową wersję WordPressa zostawiając jedynie plik wp-config.php – by było nadal skonfigurowane. Nic to jednak nie dało, linki nadal były.
Zacząłem szukając w internecie, czy ktoś nie miał podobnego problemu, zadałem pytanie na forum – nic jednak nie znalazłem ciekawego. Poza kilkoma stronami www, zainfekowanymi czymś podobnym.
Dałem więc sobie spokój na jakiś czas, skoro nawet nowa wersja WordPressa nie pomaga, coś to musi być na rzeczy. Po kilku dniach przysiadłem do tego na nowo ze świeżym spojrzeniem. Od razu znalazłem dziurę.
Sprawa znajdowała się w pliku wp-config.php, bo tylko jego zostawiłem 🙂 Było tam doklejone kilka linijek kodu a linki były includowane z jakiejś innej strony. Nie mogłem go jednak znaleźć przeszukując wyszukiwarką tekst, bo był zakodowany i rozpakowywany poleceniem base64_encode.
PS: Pozostaje tylko pytanie, kiedy to coś mi wlazło do skryptu? No ale na nie, nie umiem odpowiedzieć 🙂 W każdym razie na wszelki wypadek, zablokowałem możliwość edycji plików i zmieniłem hasło do bazy danych (skoro ktoś mógł sie do tego pliku dostać, mógł też bez problemu je wyjąć), która została jeszcze po instalacji.
Miałem podobny problem ale z innym skryptem. Dopisywało się kilka linijek kodu do plików. Gdzieś czytałem, że to jest robak, który sczytuje hasło przy logowaniu się na ftp i przy następnym logowaniu nadpisuje pliki czy jakoś tak… Nie wiem jak to jest możliwe, ale ta wersja ze wszystkich, które znalazłem w necie była najbardziej prawdopodobna.
Tomku, a masz gdzieś spisane, jakie linki Ci się dodały?
Mam ten plik wp-config.php z tym kodem jak chcesz 🙂 a poza tym jest jeszcze w kopii google – ogólnie jeden wielki SYF