Домой WordPress WordPress: Проблемы и решения Вопрос безопасности сайта
48ответ(ов) в теме
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
1
14:12

Проверьте у себя в корне сайта файл такого вида wp-xmlrpc.php
Скорее всего появился вчера. Его надо удалить, это похоже вирусня, шелл и хз что.
Откуда и как появляется не знаю, но уже трое сообщили о таком.

6
SIR
не в сети 4 года
На сайте с 09.06.2017
Участник
Тем 34
Сообщения 359
2
14:15

Привет-привет. Да, прилетело сегодня такое письмецо от хостера:
Здравствуйте!
Вас приветствует Регистратор доменных имён REG.RU!

Вы являетесь владельцем услуги хостинга 00000001 (Reg.Host-0 для ХХХХХ).
Уведомляем вас о том, что на вашем аккаунте обнаружено вредоносное программное обеспечение.

Результат проверки антивируса Virusdie:
{VIRUSDIE}Trojan.Inject.258 : 00000001 : /var/www/00000001/public_html/ХХХХХ/wp-xmlrpc.php

1
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
3
14:25

Могу скринуть, тем кто понимает в личку, моих знаний не хватает полностью понять его...может дор.

1
Preci
не в сети 4 недели
На сайте с 11.11.2014
Участник
Тем 71
Сообщения 1644
4
14:46

Я нашел у себя на 2уйх сайтах такие, были созданы вчера.

Судя по коду можно делать все что угодно с файлами =/

2
Павел (Litbes)
не в сети 3 месяца
На сайте с 03.08.2018
Участник
Тем 158
Сообщения 732
5
14:48

На двух моих сайтах были эти трояны.
А на двух других, закрытых заглушками, нет.

2
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
6
14:48

Preci сказал(а)
Я нашел у себя на 2уйх сайтах такие, были созданы вчера.

Судя по коду можно делать все что угодно с файлами =/

Вот и мне показалось, что полный армагеддон, но не стал писать, так как не понимаю много в нем.

Видимо стоит погромче эту темку осветить, особенно кто имеет доступ к телу на хабре.

0
Вова (Otshelnik-Fm)
не в сети 1 день
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
7
14:48

Привет Игорь. Спасибо за инфу.

Увидел на одном - 5.3.2 вордпресс стоял и этот файл.
Смотрю что там и куда ноги растут

1
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
8
14:51

На самом деле, тревогу поднял Александр

Вы не можете просматривать опубликованные ссылки

Я только стукнул народу в мессенджерах и стал копать...

1
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
9
14:52

Дружаев Владимир (Otshelnik-Fm) сказал(а)
Смотрю что там и куда ноги растут

Очень важно, так как дело то походу массовое и на офф и на хабре ноль сообщений

0
Preci
не в сети 4 недели
На сайте с 11.11.2014
Участник
Тем 71
Сообщения 1644
10
14:55

Ну да это полный доступ ко всему:

2
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
11
14:58

Пока вроде с файлами все норм, но это пока и думаю не у всех, до кого "очередь" дошла. да и название поменяется и место заливки со временем.

Редакции сообщения
14.04.2020 15:00garryПричина: не указано
0
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
12
15:05

Может рассылочку замутить тут?

1
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
13
15:36

Еще подтвердили ребята появление этого файла, дата вчерашняя.

Пока он имеет стандартное имя, можно дописать .htaccess

<Files wp-xmlrpc.php>
order deny,allow
deny from all

Редакции сообщения
14.04.2020 15:37garryПричина: не указано
14.04.2020 15:46garryПричина: не указано
14.04.2020 15:46garryПричина: не указано
0
Вова (Otshelnik-Fm)
не в сети 1 день
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
14
16:02

На официальном форуме написал

Вы не можете просматривать опубликованные ссылки

ждем когда что напишут в рунете

1
Вова (Otshelnik-Fm)
не в сети 1 день
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
15
16:03

В гугле инфа от 2015 года:

Вы не можете просматривать опубликованные ссылки
1
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
16
16:03

Дружаев Владимир (Otshelnik-Fm) сказал(а)
В гугле инфа от 2015 года:

Вы не можете просматривать опубликованные ссылки

Вот жеж.

0
юрий
не в сети 3 года
На сайте с 21.12.2014
Участник
Тем 114
Сообщения 403
17
16:03

У меня файл wp-xmlrpc.php 13.04.2020 в 23:30 откуда-то появился. Хотя ничего не загружал не обновлял и вообще на сайте только с утра авторизировался и все.

И еще файл xmlrpc.php имеется (с 14.11.2019 там висит) в котором файл wp-xmlrpc.php вообще неоднократно упоминается.

Редакции сообщения
14.04.2020 16:04RomanПричина: не указано
1
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
18
16:04

Roman сказал(а)
xmlrpc.php

Это системный, но и его лучше закрыть по примеру выше, в него часто долбятся желающие поиметь сайт. Удалять не надо.

Редакции сообщения
14.04.2020 16:05garryПричина: не указано
2
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
19
16:06

Roman сказал(а)
И еще файл xmlrpc.php имеется (с 14.11.2019 там висит) в котором файл wp-xmlrpc.php вообще неоднократно упоминается.

Хотя стоп, если упоминается, то перезалить из архива свежего wp

Редакции сообщения
14.04.2020 16:07garryПричина: не указано
14.04.2020 16:08garryПричина: не указано
0
Вова (Otshelnik-Fm)
не в сети 1 день
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
20
16:12

Вы не можете просматривать опубликованные ссылки

но тема в ветке modx движка - 2 года назад

1
SIR
не в сети 4 года
На сайте с 09.06.2017
Участник
Тем 34
Сообщения 359
21
16:13

У себя наблюдаю попытку подобрать пароли через WP-login по логинам, а не по именам пользователей.
С этих IP
89.36.224.10
91.231.84.41
89.36.224.10
При этом первая попытка была 5 апреля. т.е. ранее чем антивирус хостера обнаружил этот файл.

0
Vadim
не в сети 2 недели
На сайте с 09.02.2015
Участник
Тем 50
Сообщения 228
22
16:13

У меня датирован 1 апреля на двух сайтах

2
SIR
не в сети 4 года
На сайте с 09.06.2017
Участник
Тем 34
Сообщения 359
23
16:19

order deny,allow
deny from all

Игорь, в каком месте его вставлять:
До

# END WordPress

0
Лян Николай
не в сети 1 месяц
На сайте с 27.03.2019
Участник
Тем 51
Сообщения 205
24
16:20

.ftpquota
.htaccess
.htaccess_lscachebak_01
.htaccess_lscachebak_02
.htaccess_lscachebak_03
.htaccess_lscachebak_04
.htaccess_lscachebak_05
.htaccess_lscachebak_06
.htaccess_lscachebak_orig
xmlrpc.php

А это у меня ... Случаем среди них нет подохрительных? 😬

0
юрий
не в сети 3 года
На сайте с 21.12.2014
Участник
Тем 114
Сообщения 403
25
16:24

На втором сайте данного файла не нашел, но в файле xmlrpc.php он упоминается:
<api name="Blogger" blogID="1" preferred="false" apiLink="<?php echo site_url( 'xmlrpc.php', 'rpc' ); ?>" />

0
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
26
16:24

SIR сказал(а)

order deny,allow
deny from all

Игорь, в каком месте его вставлять:
До

# END WordPress

Под всем, что у тебя есть в этом файле, в конец.

Лян Николай сказал(а)
.ftpquota
.htaccess
.htaccess_lscachebak_01
.htaccess_lscachebak_02
.htaccess_lscachebak_03
.htaccess_lscachebak_04
.htaccess_lscachebak_05
.htaccess_lscachebak_06
.htaccess_lscachebak_orig
xmlrpc.php

А это у меня ... Случаем среди них нет подохрительных? 😬

Это резервные копии и по идеи нормальный фвйл, если в нем не упоминается файл из первого поста. Его надо искать.

0
garry
не в сети 6 часов
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2928
27
16:30

Не дописал выше в посте, сорри

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

3
SIR
не в сети 4 года
На сайте с 09.06.2017
Участник
Тем 34
Сообщения 359
28
16:42

garry сказал(а)
Не дописал выше в посте, сорри

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Я так понял он закрывает это подключение. Помнится мы зимой уже писали с тобой его, но вот куда он делся...

0
Irisha
не в сети 3 недели
На сайте с 24.04.2018
Участник
Тем 21
Сообщения 93
29
16:48

Я тоже обнаружила этот файл в корне своего сайта. Отписалась в службу поддержки хостинга (спринтхост). Буду ждать ответа. Сам файл удалила. Спасибо Игорю, что сообщил мне о данной проблеме.

2
Vadik O
не в сети 2 года
На сайте с 14.09.2017
Участник
Тем 127
Сообщения 571
30
16:59

На одном аккаунте два домена, один чистый а у второго тоже есть wp-xmlrpc.php в корне. Попросил хостера, щас сканируют

Плагины:
All In One WP Security
Child Theme Configurator
Code Snippets
Cyr-To-Lat
Max Mega Menu
Query Monitor
Widget Options не активный
WP-Recall

Панель управления ISPmanager 5 Lite

2
Вы не имеете права на публикацию сообщений в этой теме