php silence is golden
Php silence is golden
Вот содержание index_backup.php:
index.php оставляй, где его нет добавь. Он нужен для того чтобы листинги каталогов не показывались. Это стандартные файлы с таким содержанием:
Кот в сапогах:
index.php оставляй, где его нет добавь. Он нужен для того чтобы листинги каталогов не показывались. Это стандартные файлы с таким содержанием:
Какой еще порядок? Этого файла вообще не должно существовать нигде. Не было его никогда.
Не тупи. Яспросил index_backup.php в таком неудобочитаемом виде как ты его сюда скопировал?
Уже не важно т.к. разобрался
index.php с содержанием:
Это понятно, как найти откуда начало берут эти файлы
Почитать топик. Уже дали ссылку на ПО, которое ищет вирусы и шеллы.
ребят, херней не майтесь (это к тому что плагины бруты и т д) на этот сайт я смог бы шелл залить за минуту
Уязвимый файл timthumb.php
Если он содержит код
function checkExternal ($src) <
$allowedSites = array(
‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
);
шелл льется за несколько секунд)))
И сколькоб не восстанавливал сайт из бекапов- пока не закроеш дыру- подлые хакеры на твоем сайте будут чувствовать себя как дома)))
Что это за вирус, и чего теперь бояться?
Сегодня обнаружил вот такую вот штуку на WordPress сайте:
Адрес файла: wp-content/themes/index.php
В файле был вот такой код:
Антивирусник хоста его обозвал как:
SL-PHP-EVAL_REQUEST-awgh.UNOFFICIAL FOUND
Опасаться того, что где-нибудь в другом файле лежит еще один бэкдор.
Залезть могла в любой файл, в твоей рабочей директории, туда куда можно дотянуться из скрипта и где есть права на запись.
Самый лучший способ почистить, это выкачать к себе свежую версию WP и перенести только базу, а лучше только посты WP из базы. Снести все под ноль, и перезалить свежую версию сайта. Это не всегда применимо, но дает самые лучшие результаты. В противном случае, нужно поверху накатить свежю версию файлов WP и поискать другие зараженные файлы с помощью поиска по файлам и маскам из зараженного скрипта, например «sha1(md5(» или «base64_decode($q»
Хост все сам проверил (FTP), больше подобных файлов нет.
Был еще тот, который обозвали: SL-BIN-TROJAN-GENERIC-md5-bta.UNOFFICIAL FOUND, но он был на совсем другом сайте, причем вообще в плагине, и вряд ли это был его «хвост».
Вопрос в том, куда эта ерунда могла еще залезть, и что она там могла наделать. Чего в будущем бояться?
А есть вообще «антивирусник» для вот этого вот всего? Ну что бы хотя бы выкачать файлы и проверить все у себя. Потому как заливка файла на тот же VirusTotal, например, показала что файл чист.
Антивирусники особо не помогут, только для вирусов с устойчивой сигнатурой. А тут возможностей ее поменять безграничное кол-во.
Залезть могла в любой файл, любой директории доступный для записи. Проверить это можно написав скрипт с перебором всех папок/файлов и проверкой на запись, по типу
В будущем, если не дочистил, то стоит бояться всего, что связано с использованием чужих скриптов на своем сервере: майнинг, ботнеты, рассылка спама, клоакинг на твоих сайтах и т.д.
Ну, и обрати еще внимание, если у тебя shared хостинг, то вирус может и от соседа лезть, если у тебя стоят где-нибудь права 777 или не очень квалифицированные админы хостинга.
Php silence is golden
Silence is Golden Guard
Attention! Starting from version 1.7 plugin works with WordPress 3.0 and higher only. For earlier WordPress versions use plugin version 1.6 from here.
Quick Links
into every page header. “Hide WordPress version” option helps to hide it.
If you press “Scan Now” or “Rebuild All” button you will see something similar to the image below:
Attention! There is a very strong recommendation to make full backup of your blog before you activate SIG plugin. If you have developement copy of your blog at the same webhost I recommend you to give a SIG plugin first try at the test environment.
Translations
Dear plugin User,
if you wish to help me with this plugin translation I very appreciate it. Please contact me via Contact form and I will answer you by email. Do not forget include you site link in order I can show it with greetings for the translation help here at shinephp.com, plugin settings page and plugin’s readme.txt file.
You are welcome! Help me with plugin translation, share with me new ideas about its further development and link to your site will appear above.
ChangeLog
If you have trouble with SIG plugin email me, make a comment here, use contact form of forum post and report about your problem. I will help you to resolve it without any charge. As the only return from you I expect the ability to isolate the problem: what environment, settings, theme, other plugins, etc. lead to the problem you have…
I am ready to answer on your questions about this plugin usage and help with possible problems. Use Silence is Golden Guard plugin forum or this page comments and site contact form for that please.
This entry was posted on Sunday, March 14th, 2010 at 11:57 and is filed under Security, ShinePHP WordPress Plugins, WordPress. You can follow any responses to this entry through the RSS 2.0 feed. You can skip to the end and leave a response. Pinging is currently not allowed.
Папка wp-content
Все файлы и папки, кроме wp-content — это и есть WordPress, движок. Т.е. каталоги: wp-includes и wp-admin — это ядро WordPress, а wp-content — это все остальное — все пользовательские данные.
В директории wp-content хранятся практически все пользовательские файлы, кроме файла конфигурации wp-config.php (это неотъемлемая часть ядра). Здесь находятся плагины, темы, файлы плагинов, тем и содержимого сайта. Тут же принято хранить все файлы связанные с расширением возможностей WordPress.
Файл wp-content/index.php
Всегда должен существовать и должен иметь такое содержимое:
При обновлении WordPress вручную, никогда не трогайте папку wp-content и ничего в ней. Она к обновлению WordPress никакого отношения не имеет.
Список того, что может находиться в каталоге wp-content :
/mu-plugins — обязательные плагины
/plugins — плагины
/themes — темы
WordPress может хранить в этой директории сколько угодно тем. Вы можете легко посмотреть любую имеющуюся тему или активировать её во вкладке Внешний вид ► Темы в админ-панели.
/uploads — медиафайлы и загрузки
По умолчанию WordPress хранит загрузки в папках по годам и месяцам:
WordPress НЕ умеет распознавать и импортировать в админку изображения загруженные в uploads напрямую (не через админку). И в библиотеке файлов WordPress такие файлы не отображаются — WordPress о них ничего не знает.
uploads в Multisite
Такой подход позволяет разделить загрузки для каждого сайта и упрощает их обслуживание.
Так например, директория для сайта с ID 3 выглядит так:
Перемещение папки uploads
Чтобы переместить папку uploads нужно определить константу UPLOADS в wp-config.php так:
Или можно изменить опции: upload_path и upload_url_path в таблице опций (см. update_option()).
Перемещать папку uploads не рекомендуется, об этом я писал в статье: Баг с перемещением папки uploads.
/upgrade — автообновления
Директория wp-content/upgrade создается WordPress автоматически при обновлении WordPress. Эта папка используется для хранения новой версии WordPress, скачанной с WordPress.org. Перед обновлением, WordPress скачивает архив и извлекает его содержимое в эту папку. Чтобы процесс автоматического обновления протекал успешно, рекомендуется не трогать эту папку. Если данная директория удалена, WordPress создаст её при следующем обновлении.
/languages — переводы
Каталог wp-content/languages присутствует только в том случае, если вы устанавливаете не английскую версию WordPress. В нем содержаться все файлы локализации (перевода) WordPress. Такие файлы имеют расширения:
Также в languages могут находиться специальные поддиректории:
Произвольные директории
В /wp-content можно создавать любые директории. Некоторые плагины, создают такие папки для хранения файлов. Обычно отдельная папка создается, когда нужно хранить много файлов или когда хранимые файлы как-то отличаются от остальных.
Например плагин WP Super Cache создает директорию /wp-content/cache для хранения кэшированных страниц сайта. Кэшированная страница — это сгенерированная страница сайта, сохраненная как статический файл HTML. При обращении к такой странице она не генерируется повторно, а отдается статический файл. Это и есть страничный кэш, который уменьшает нагрузку сервера в десятки раз, поскольку страницы не генерируются при каждом просмотре, а создаются только когда кэш перезаписывается.
Плагин WP Super Cache также добавляет два файла в директорию wp-content: advanced-cache.php (специальный) и wp-cache-config.php. Они нужны для работы WP Super Cache.
Еще пример, мой плагин Kama Thumbnail, который также создает папку /wp-content/cache/thumb и записывает в нее созданные файлы миниатюр.
Специальные файлы
advanced-cache.php
Этот файл используется плагинами страничного кэширования. В нем обычно проверяется наличие подходящего файла кэша и если он есть, то он выводиться на экран и работа скрипта обрывается. Это позволяет не загружать 90% файлов WordPress и отдавать статические HTML файлы.
object-cache.php
На основе этого файла работают такие кэши объектов как: Memcache, Memcached, APC, XCache.
Вызов выглядит так:
maintenance.php
В maintenance.php нужно описать страницу-заглушку по всем правилам HTML.
Подробнее читайте в описании функции wp_maintenance()
db-error.php
Позволяет показать произвольный шаблон страницы ошибки соединения с базой данных.
Страница об ошибке подключения должна устанавливать статус ответа 500, чтобы поисковики не обрабатывали контент.
Файл db-error.php вызывается функцией dead_db(), а функция в свою очередь вызывается при ошибке подключения к БД.
Пример такой страницы смотрите здесь.
sunrise.php
Загружается только для мультисайтовой сборки, т.е. когда срабатывает условие is_multisite() и при этом определена константа ‘SUNRISE’ (её нужно определить в файле wp-config.php ).
Также в файле sunrise.php можно изменить константы отвечающие за то, где находится каталоги MU плагинов или обычных плагинов. см. wp_plugin_directory_constants()
.
sunrise.php подключается еще до константы SHORTINIT.
sunrise.php подключается в файле wp-includes/ms-settings.php, который в свою очередь подключается в основном загрузочном файле wp-settings.php.
db.php
Благодаря такой логике, можно, например, расширить базовый класс wpdb<> или полностью его заменить.
Пример расширения базового класса wpdb<> :
Переименование или перемещение папки wp-content
В некоторых случаях, например, для уникализации многих URL на всем сайте или для объединения структуры сайта с другим скриптом, или по каким-то еще причинам, нужно чтобы каталог wp-content назвался по-другому или чтобы он находился в другой директории.
Каталог wp-content в WordPress
Т.е. каталоги: wp-includes и wp-admin — это ядро WordPress, а wp-content — это все остальное — все пользовательские данные…
файл index.php должен находиться в wp-content всегда. Вот его содержимое:
При обновлении WordPress вручную, никогда не трогайте папку wp-content и ничего в ней. Она к обновлению WordPress никакого отношения не имеет.
Список папок и файлов, которые могут лежать в каталоге wp-content :
/mu-plugins — обязательные плагины
/plugins — плагины
/themes — темы
WordPress может хранить в этой директории сколько угодно тем. Вы можете легко посмотреть любую имеющуюся тему или активировать её во вкладке Внешний вид ► Темы в админ-панели.
/uploads — медиафайлы и загрузки
По умолчанию WordPress хранит загрузки в папке по месяцам и годам:
WordPress НЕ умеет распознавать и импортировать в админку изображения загруженные в uploads напрямую (не через админку). И в библиотеке файлов WordPress такие файлы не отображаются — WordPress о них ничего не знает.
uploads в Multisite
Такой подход позволяет разделить загрузки для каждого сайта и упрощает их обслуживание.
Так например, директория для сайта с ID 3 выглядит так:
Перемещение папки uploads
Чтобы переместить папку uploads нужно определить константу UPLOADS в wp-config.php так:
Или можно изменить опции: ‘upload_path’ и ‘upload_url_path’ в таблице опций (см. update_option()).
Перемещать папку uploads не рекомендуется.
/upgrade — автообновления
Директория wp-content/upgrade создается WordPress автоматически при обновлении WordPress. Эта папка используется для хранения новой версии WordPress, скачанной с WordPress.org. Перед обновлением, WordPress скачивает архив и извлекает его содержимое в эту папку. Чтобы процесс автоматического обновления протекал успешно, рекомендуется не трогать эту папку. Если данная директория удалена, WordPress создаст её при следующем обновлении.
/languages — переводы
Каталог wp-content/languages присутствует только в том случае, если вы устанавливаете не английскую версию WordPress. В нем содержаться все файлы локализации (перевода) WordPress. Такие файлы имеют расширения:
Также в languages могут находиться специальные поддиректории:
Произвольные директории
В /wp-content можно создавать любые директории. Некоторые плагины, создают такие папки для хранения файлов. Обычно отдельная папка создается, когда нужно хранить много файлов или когда хранимые файлы как-то отличаются от остальных.
Например плагин WP Super Cache создает директорию /wp-content/cache для хранения кэшированных страниц сайта. Кэшированная страница — это сгенерированная страница сайта, сохраненная как статический файл HTML. При обращении к такой странице она не генерируется повторно, а отдается статический файл. Это и есть страничный кэш, который уменьшает нагрузку сервера в десятки раз, поскольку страницы не генерируются при каждом просмотре, а создаются только когда кэш перезаписывается.
Плагин WP Super Cache также добавляет два файла в директорию wp-content: advanced-cache.php(специальный) и wp-cache-config.php. Они нужны для работы WP Super Cache.
Специальные файлы
advanced-cache.php
Этот файл используется плагинами страничного кэширования. В нем обычно проверяется наличие подходящего файла кэша и если он есть, то он выводиться на экран и работа скрипта обрывается. Это позволяет не загружать 90% файлов WordPress и отдавать статические HTML файлы.
object-cache.php
На основе этого файла работают такие кэши объектов как: Memcache, Memcached, APC, XCache.
Вызов выглядит так:
maintenance.php
В maintenance.php нужно описать страницу-заглушку по всем правилам HTML.
db-error.php
Позволяет показать произвольный шаблон страницы ошибки соединения с базой данных.
Страница об ошибке подключения должна устанавливать статус ответа 500, чтобы поисковики не обрабатывали контент.
Файл db-error.php вызывается функцией dead_db(), а функция в свою очередь вызывается при ошибке подключения к БД.
sunrise.php
Загружается только для мультисайтовой сборки, т.е. когда срабатывает условие is_multisite() и при этом определена константа ‘SUNRISE’ (её нужно определить в файле wp-config.php ).
Также в файле sunrise.php можно изменить константы отвечающие за то, где находится каталоги MU плагинов или обычных плагинов. см. wp_plugin_directory_constants().
sunrise.php подключается еще до константы SHORTINIT.
sunrise.php подключается в файле wp-includes/ms-settings.php, который в свою очередь подключается в основном загрузочном файле wp-settings.php.
db.php
Благодаря такой логике, можно, например, расширить базовый класс wpdb<> или полностью его заменить.
Пример расширения базового класса wpdb<> :
Переименование или перемещение папки wp-content
В некоторых случаях, например, для уникализации многих URL на всем сайте или для объединения структуры сайта с другим скриптом, или по каким-то еще причинам, нужно чтобы каталог wp-content назвался по-другому или чтобы он находился в другой директории.