WordPress Hacked: время собирать камни

[kingoleg]

Осталось узнать, как этот вирус плодиться. Касперычь лечит? :)

[youngest]

Добавил ссылку на описание уязвимостей WP 2.5. Все формы и support уверяют что 2.5.1 чист, как никогда, но я им не верю :) И подозреваю наличие уязвимостей в plugin-ах

[youngest]

меня еще очень удивил тот факт, что эта гадость корректно прописалась в мою личную таблицу banners, которую я использовал при отрисовке темплейта. У меня такое впечатление, что это маштабная и хорошо спланированная акция. Первый раз вижу такой живучий и активно размножающийся взлом.

[borodatyj]

0_o первый известный мне вирус, размножающийся через сайты
как хорошо, что я отказался от вордпресса

чувствую, скоро касперский запустит акцию
"помоги нам расшифровать код вордпресса и остановить вирус!"

))

[rimmer333]

http://cssing.org.ua/2008/06/01/wp-foote… это вот не из той же сказки?

[youngest]

очень похоже, но то с чем столкнулся я смахивает на "версия вторая, доработанная"

[ni4]

А почему бы не поставить запрещение на запись в файлы с скриптами?

[youngest]

так и сделано
он пишет в tmpfiles, в папку кеша, в папку загружаемых картинок и выполняет код оттуда :)

[nimnull]

Мне кажется, что тут проблема вордпресса. По идее нужно проверять mime-type загружаемых файлов, а если я вас правильно понял - этого не происходит, отчего контент скрипта и просачивается.

[mightymind]

А, по-моему, WP тут ни при чем ;) достаточно получить пароль рута от БД. Тогда любые таблицы в БД можно замусорить как захочешь. Можно говорить, что получить этот пароль сверх тяжело или невозможно, но люди администрирующие сервера тоже работают не без ошибок ;)
У самого возникала подобная ситуация, так ведь разобрался ;) Оказалось, владелец рута на сервере ленивый, и на скрипты добавления пользователей поставил chmod 744 ;)