Домой WordPress WordPress: Проблемы и решения Вопрос безопасности сайта
48ответ(ов) в теме
12
Лян Николай
не в сети 3 месяца
На сайте с 27.03.2019
Участник
Тем 51
Сообщения 205
31
14 апреля 2020 17:17

garry сказал(а)
Это резервные копии и по идеи нормальный фвйл, если в нем не упоминается файл из первого поста. Его надо искать.

Спасибо, успокоили. Вроде нет такого

1
юрий
не в сети 3 года
На сайте с 21.12.2014
Участник
Тем 114
Сообщения 403
32
14 апреля 2020 17:34

Вот что мне ответили в поддержке хостинга beget, по поводу данного файла "Он дает доступ к файлам сайта. По умолчанию в целях безопасности на нашем хостинге доступ к XML-RPC запрещён. Получить доступ без обращения в техническую поддержку невозможно.".

1
garry
не в сети 1 день
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2931
33
14 апреля 2020 17:42

Roman сказал(а)
Вот что мне ответили в поддержке хостинга beget, по поводу данного файла "Он дает доступ к файлам сайта. По умолчанию в целях безопасности на нашем хостинге доступ к XML-RPC запрещён. Получить доступ без обращения в техническую поддержку невозможно.".

Это когда он называется так как называется системный. К нему да, запрещено, а когда появляется новый, с другим названием, там wp- впереди, то хостинг про него не знает и доступ открыт. Его залили вчера.

1
SIR
не в сети 4 года
На сайте с 09.06.2017
Участник
Тем 34
Сообщения 359
34
14 апреля 2020 18:51

wp-xmlrpc.php - это троян, xmlrpc.php - системный

2
Вова (Otshelnik-Fm)
не в сети 2 недели
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
35
14 апреля 2020 20:22

Нашли причину - уязвимость в WP-Recall.

Атакующий смог получить доступ к загрузке дополнения (через ajax - из фронтенда - банальная проверка прав на выполнение).

В версии 16.18.15 плагина эта уязвимость была закрыта. Просьба всем срочно обновиться и проверить в корне сайта (там где .htaccess файл и robots.txt) наличие файла wp-xmlrpc.php - удалить его.
И по пути: ваш-сайт/wp-content/wp-recall/add-on/wpstaf/wpstaf.php папку /wpstaf/ стоит удалить (собственно шагом 1-м загружался сюда и потом в корне создавался файл)

6
Preci
не в сети 2 месяца
На сайте с 11.11.2014
Участник
Тем 71
Сообщения 1644
36
14 апреля 2020 20:44

У меня на обоих сайтах где появился wp-xmlrpc.php нет /wpstaf/wpstaf.php

0
Vadik O
не в сети 2 года
На сайте с 14.09.2017
Участник
Тем 127
Сообщения 571
37
14 апреля 2020 20:47

Тоже нет папки ваш-сайт/wp-content/wp-recall/add-on/wpstaf
но файл wp-xmlrpc.php был удален до поиска папки
и да, плагин пока не обновлял Версия 16.18.10

Редакции сообщения
14.04.2020 20:49Vadik OПричина: не указано
0
Андрей CS
не в сети 9 часов
На сайте с 30.11.-0001
Администратор
Тем 71
Сообщения 16928
38
14 апреля 2020 20:50

файла wpstaf.php может и не быть, он должен был удалиться сразу после создания wp-xmlrpc.php, но где то этого могло не произойти, возможно из-за ограничений на доступ к файлам, поэтому проверить стоит

4
Preci
не в сети 2 месяца
На сайте с 11.11.2014
Участник
Тем 71
Сообщения 1644
39
14 апреля 2020 21:00

Главное не забыть поменять доступы к базе данных, ибо wp-xmlrpc.php удалили но успел ли он скачать wp-config - неизвестно

4
garry
не в сети 1 день
На сайте с 04.01.2014
Участник
Тем 146
Сообщения 2931
40
14 апреля 2020 23:31

Все очень оперативно, не просто это было найти. Спасибо!

3
SIR
не в сети 4 года
На сайте с 09.06.2017
Участник
Тем 34
Сообщения 359
41
15 апреля 2020 00:20

garry сказал(а)
Все очень оперативно, не просто это было найти. Спасибо!

Вовремя ты шухер поднял:) Иди костюмчик примеряй:)

2
Лян Николай
не в сети 3 месяца
На сайте с 27.03.2019
Участник
Тем 51
Сообщения 205
42
15 апреля 2020 03:13

А у меня ничего из вышеперечисленного не было обнаружено и сайт не ломался после первичного обновления плагина WP-RECALL вчера, когда этот сайт упал. А вот этот файл wp-loginaaa.php что за файл? Он 10 апреля создался и до этого периодически появлялся у меня. Не нашел в интернете про этот файл ничего. Спасибо заранее.)

0
Вова (Otshelnik-Fm)
не в сети 2 недели
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
43
15 апреля 2020 10:30

Вы не можете просматривать опубликованные ссылки
0
Preci
не в сети 2 месяца
На сайте с 11.11.2014
Участник
Тем 71
Сообщения 1644
44
15 апреля 2020 21:27

У меня пошли обращения к файлу:

[15.04.20 21:13] 88.243.70.184
[15.04.20 21:20] 178.247.0.169
[15.04.20 21:25] 85.97.24.45

0
Вова (Otshelnik-Fm)
не в сети 2 недели
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
45
15 апреля 2020 21:38

Preci - к какому?

0
Preci
не в сети 2 месяца
На сайте с 11.11.2014
Участник
Тем 71
Сообщения 1644
46
15 апреля 2020 21:41

Ну к этому самому: wp-xmlrpc.php

Я ради интереса заменил его содержимое и сделал оповещалку в телеграм когда к файлу обращаются, вот сейчас впервые обращения пошли. т.е. вероятнее всего хацкер ничего не украл, просто получил доступы скриптом и все, а сейчас вот осматривает свои владения

1
Вова (Otshelnik-Fm)
не в сети 2 недели
На сайте с 27.01.2013
Участник
Тем 43
Сообщения 18653
47
15 апреля 2020 21:46

Посмотрел - у меня пока нет к нему запросов.
Да пусть стучится - теперь лазейка закрыта. Айпишник позавчера был львовский 188.163.60.170

0
SIR
не в сети 4 года
На сайте с 09.06.2017
Участник
Тем 34
Сообщения 359
48
16 апреля 2020 00:04

Preci сказал(а)
Я ради интереса заменил его содержимое и сделал оповещалку в телеграм когда к файлу обращаются, вот сейчас впервые обращения пошли. т.е. вероятнее всего хацкер ничего не украл, просто получил доступы скриптом и все, а сейчас вот осматривает свои владения

Оффтоп
Пока присматриватся

0
12
Вы не имеете права на публикацию сообщений в этой теме
Тему просматривают: Никого нет