Вопрос безопасности сайта | Форум WordPress: Проблемы и решения

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

1

14 апреля 2020 14:12

Проверьте у себя в корне сайта файл такого вида wp-xmlrpc.php
Скорее всего появился вчера. Его надо удалить, это похоже вирусня, шелл и хз что.
Откуда и как появляется не знаю, но уже трое сообщили о таком.

6

SIR

не в сети 4 года

На сайте с 09.06.2017

Участник

Тем 34

Сообщения 359

2

14 апреля 2020 14:15

Привет-привет. Да, прилетело сегодня такое письмецо от хостера:
Здравствуйте!
Вас приветствует Регистратор доменных имён REG.RU!

Вы являетесь владельцем услуги хостинга 00000001 (Reg.Host-0 для ХХХХХ).
Уведомляем вас о том, что на вашем аккаунте обнаружено вредоносное программное обеспечение.

Результат проверки антивируса Virusdie:
{VIRUSDIE}Trojan.Inject.258 : 00000001 : /var/www/00000001/public_html/ХХХХХ/wp-xmlrpc.php

1

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

3

14 апреля 2020 14:25

Могу скринуть, тем кто понимает в личку, моих знаний не хватает полностью понять его...может дор.

1

Preci

не в сети 2 недели

На сайте с 11.11.2014

Участник

Тем 71

Сообщения 1644

4

14 апреля 2020 14:46

Я нашел у себя на 2уйх сайтах такие, были созданы вчера.

Судя по коду можно делать все что угодно с файлами =/

2

Павел (Litbes)

не в сети 2 месяца

На сайте с 03.08.2018

Участник

Тем 158

Сообщения 732

5

14 апреля 2020 14:48

На двух моих сайтах были эти трояны.
А на двух других, закрытых заглушками, нет.

2

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

6

14 апреля 2020 14:48

Preci сказал(а)
Я нашел у себя на 2уйх сайтах такие, были созданы вчера.

Судя по коду можно делать все что угодно с файлами =/

Вот и мне показалось, что полный армагеддон, но не стал писать, так как не понимаю много в нем.

Видимо стоит погромче эту темку осветить, особенно кто имеет доступ к телу на хабре.

0

Вова (Otshelnik-Fm)

не в сети 12 часов

На сайте с 27.01.2013

Участник

Тем 43

Сообщения 18652

7

14 апреля 2020 14:48

Привет Игорь. Спасибо за инфу.

Увидел на одном - 5.3.2 вордпресс стоял и этот файл.
Смотрю что там и куда ноги растут

1

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

8

14 апреля 2020 14:51

На самом деле, тревогу поднял Александр

Вы не можете просматривать опубликованные ссылки

Я только стукнул народу в мессенджерах и стал копать...

1

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

9

14 апреля 2020 14:52

Дружаев Владимир (Otshelnik-Fm) сказал(а)
Смотрю что там и куда ноги растут

Очень важно, так как дело то походу массовое и на офф и на хабре ноль сообщений

0

Preci

не в сети 2 недели

На сайте с 11.11.2014

Участник

Тем 71

Сообщения 1644

10

14 апреля 2020 14:55

Ну да это полный доступ ко всему:

2

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

11

14 апреля 2020 14:58

Пока вроде с файлами все норм, но это пока и думаю не у всех, до кого "очередь" дошла. да и название поменяется и место заливки со временем.

Редакции сообщения

14.04.2020 15:00garryПричина: не указано

0

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

12

14 апреля 2020 15:05

Может рассылочку замутить тут?

1

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

13

14 апреля 2020 15:36

Еще подтвердили ребята появление этого файла, дата вчерашняя.

Пока он имеет стандартное имя, можно дописать .htaccess

<Files wp-xmlrpc.php>
order deny,allow
deny from all

Редакции сообщения

14.04.2020 15:37garryПричина: не указано

14.04.2020 15:46garryПричина: не указано

0

Вова (Otshelnik-Fm)

не в сети 12 часов

На сайте с 27.01.2013

Участник

Тем 43

Сообщения 18652

14

14 апреля 2020 16:02

На официальном форуме написал

Вы не можете просматривать опубликованные ссылки

ждем когда что напишут в рунете

1

Вова (Otshelnik-Fm)

не в сети 12 часов

На сайте с 27.01.2013

Участник

Тем 43

Сообщения 18652

15

14 апреля 2020 16:03

В гугле инфа от 2015 года:

Вы не можете просматривать опубликованные ссылки

1

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

16

14 апреля 2020 16:03

Дружаев Владимир (Otshelnik-Fm) сказал(а)
В гугле инфа от 2015 года:

Вы не можете просматривать опубликованные ссылки

Вот жеж.

0

юрий

не в сети 3 года

На сайте с 21.12.2014

Участник

Тем 114

Сообщения 403

17

14 апреля 2020 16:03

У меня файл wp-xmlrpc.php 13.04.2020 в 23:30 откуда-то появился. Хотя ничего не загружал не обновлял и вообще на сайте только с утра авторизировался и все.

И еще файл xmlrpc.php имеется (с 14.11.2019 там висит) в котором файл wp-xmlrpc.php вообще неоднократно упоминается.

Редакции сообщения

14.04.2020 16:04RomanПричина: не указано

1

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

18

14 апреля 2020 16:04

Roman сказал(а)
xmlrpc.php

Это системный, но и его лучше закрыть по примеру выше, в него часто долбятся желающие поиметь сайт. Удалять не надо.

Редакции сообщения

14.04.2020 16:05garryПричина: не указано

2

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

19

14 апреля 2020 16:06

Roman сказал(а)
И еще файл xmlrpc.php имеется (с 14.11.2019 там висит) в котором файл wp-xmlrpc.php вообще неоднократно упоминается.

Хотя стоп, если упоминается, то перезалить из архива свежего wp

Редакции сообщения

14.04.2020 16:07garryПричина: не указано

14.04.2020 16:08garryПричина: не указано

0

Вова (Otshelnik-Fm)

не в сети 12 часов

На сайте с 27.01.2013

Участник

Тем 43

Сообщения 18652

20

14 апреля 2020 16:12

Вы не можете просматривать опубликованные ссылки

но тема в ветке modx движка - 2 года назад

1

SIR

не в сети 4 года

На сайте с 09.06.2017

Участник

Тем 34

Сообщения 359

21

14 апреля 2020 16:13

У себя наблюдаю попытку подобрать пароли через WP-login по логинам, а не по именам пользователей.
С этих IP
89.36.224.10
91.231.84.41
89.36.224.10
При этом первая попытка была 5 апреля. т.е. ранее чем антивирус хостера обнаружил этот файл.

0

Vadim

не в сети 3 месяца

На сайте с 09.02.2015

Участник

Тем 50

Сообщения 228

22

14 апреля 2020 16:13

У меня датирован 1 апреля на двух сайтах

2

SIR

не в сети 4 года

На сайте с 09.06.2017

Участник

Тем 34

Сообщения 359

23

14 апреля 2020 16:19

order deny,allow
deny from all

Игорь, в каком месте его вставлять:
До

# END WordPress

0

Лян Николай

не в сети 1 неделя

На сайте с 27.03.2019

Участник

Тем 51

Сообщения 205

24

14 апреля 2020 16:20

.ftpquota
.htaccess
.htaccess_lscachebak_01
.htaccess_lscachebak_02
.htaccess_lscachebak_03
.htaccess_lscachebak_04
.htaccess_lscachebak_05
.htaccess_lscachebak_06
.htaccess_lscachebak_orig
xmlrpc.php

А это у меня ... Случаем среди них нет подохрительных? 😬

0

юрий

не в сети 3 года

На сайте с 21.12.2014

Участник

Тем 114

Сообщения 403

25

14 апреля 2020 16:24

На втором сайте данного файла не нашел, но в файле xmlrpc.php он упоминается:
<api name="Blogger" blogID="1" preferred="false" apiLink="<?php echo site_url( 'xmlrpc.php', 'rpc' ); ?>" />

0

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

26

14 апреля 2020 16:24

SIR сказал(а)

order deny,allow
deny from all

Игорь, в каком месте его вставлять:
До

# END WordPress

Под всем, что у тебя есть в этом файле, в конец.

Лян Николай сказал(а)
.ftpquota
.htaccess
.htaccess_lscachebak_01
.htaccess_lscachebak_02
.htaccess_lscachebak_03
.htaccess_lscachebak_04
.htaccess_lscachebak_05
.htaccess_lscachebak_06
.htaccess_lscachebak_orig
xmlrpc.php

А это у меня ... Случаем среди них нет подохрительных? 😬

Это резервные копии и по идеи нормальный фвйл, если в нем не упоминается файл из первого поста. Его надо искать.

0

garry

не в сети 18 часов

На сайте с 04.01.2014

Участник

Тем 146

Сообщения 2927

27

14 апреля 2020 16:30

Не дописал выше в посте, сорри

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

3

SIR

не в сети 4 года

На сайте с 09.06.2017

Участник

Тем 34

Сообщения 359

28

14 апреля 2020 16:42

garry сказал(а)
Не дописал выше в посте, сорри
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Я так понял он закрывает это подключение. Помнится мы зимой уже писали с тобой его, но вот куда он делся...

0

Irisha

не в сети 1 неделя

На сайте с 24.04.2018

Участник

Тем 21

Сообщения 93

29

14 апреля 2020 16:48

Я тоже обнаружила этот файл в корне своего сайта. Отписалась в службу поддержки хостинга (спринтхост). Буду ждать ответа. Сам файл удалила. Спасибо Игорю, что сообщил мне о данной проблеме.

2

Vadik O

не в сети 2 года

На сайте с 14.09.2017

Участник

Тем 127

Сообщения 571

30

14 апреля 2020 16:59

На одном аккаунте два домена, один чистый а у второго тоже есть wp-xmlrpc.php в корне. Попросил хостера, щас сканируют

Плагины:
All In One WP Security
Child Theme Configurator
Code Snippets
Cyr-To-Lat
Max Mega Menu
Query Monitor
Widget Options не активный
WP-Recall

Панель управления ISPmanager 5 Lite

2