Янв
29
15

Решение проблемы (хака) в wordpress «hacked by Badi»

проблема hacked by BadiВчера столкнулся с неприятной ситуацией, когда с 10-ток моих сайтов в том числе и парочка основных блогов была хакнута. Не знаю что за мудак этот Badi, но судя по подписи это все его «заслуга». Вообще, изначально, когда возникают проблемы со многими сайтами на хостинге, первое подозрение на хак панели управления или утечку паролей на ФТП/Базы данных. Это, пожалуй, самое неприятное, что может произойти — т.к. является показателем сознательной атаки против вас или конкретных проектов. Но, просматривая просторы интернета понимаю, что мои проблемы с вордпресс не единичный случай, и этот проказник натворил делов.

Основные признаки хака: «крякозябры» (ошибки в кодировке) в админ панели управления, а также проблемы с отображением блога, когда вместо страниц сайта выводится сообщение «hacked by Badi».

Не стоит паниковать — излечение этого хака не такое уж и сложное. Хотя произошедшее заставляет задуматься! В первую очередь много вопросов разработчикам WordPress — очередной их косяк, коих было и есть предостаточно. Проблема коснулась всех версий WordPress — от 3.3 до 3.5 и даже последней 3.5.1 (которая тоже исправляет какие-то баги). Помнится, в системе typo3 есть отдельный штат (группа разработчиков) которая занимается исключительно безопасностью и регулярно выявляет проблемы не только ядра, но и сторонних модулей! Понятно, что в  Wordpress тоже есть кто-то подобный, но работает, видимо, недостаточно хорошо.

Исправляем проблему hacked by Badi

1. Первым делом нужно исправить кодировку в базе данных. Хак каким-то образом меняет ее с UTF-8 на UTF-7. Этим и объясняются «кракозябры» в панели управления при отображении русскоязычных символов.

Заходим в Phpmyadmin и выбираем нужную базу данных, если их несколько. Нам потребуется изменить параметр blog_charset в таблице wp_options (вместо префикса wp_ может быть другой, указанный при создании блога). Проще всего перейти в раздел поиска по базе, ввести фразу «blog_charset» и выбрать нужную таблицу.

исправляем хак hacked by Badi

Phpmyadmin найдет 1-6 записей с таким параметром, среди которых будет с установленным значением UTF-7. Редактируете ее и заменяете UTF-7 на UTF-8.

решение проблемы hacked by Badi

Сохраняете таблицу. С базой данных все.

2. Заходите в админку WordPress в раздел «Параметры» — «Общие» (General) — здесь нужно будет исправить заголовок сайта, т.к. хакер добавил туда свой текст.

3. Финальный этап — исправить виджеты. В одноименном разделе вы увидите, что все ваши виджеты были удалены, а вместо них отображается один единственный, с непонятным кодом втутри.

восстановление виджетов hacked by Badi

Его нужно удалить. Кроме того, вам придется восстановить все виджеты, которые были в системе изначально. Здесь рекомендую воспользоваться кэшем поисковых системы, как это было в после про восстановление блога. Вводите адрес сайта в Google и смотрите так называемую «Сохраненную копию» (кэшированную версию).

кэш поисковых систем

Это одна из прошлых версий вашего сайта, которую «помнит» поисковик. Если хакнули блог недавно, то в кэше будет хранится нормальный вид сайта и вы сможете подсмотреть все виджеты, которые были установлены до этого. Кстати, если у вас в блоге не было виджетов, то визуальных проблем с самим сайтом в виде надписи «hacked by Badi» наблюдаться не будет. Нужно будет только подправить базу данных и заголовок в настройках системы. Вот вам и удобство системы в ущерб безопасности.

Вообще, конечно, по рекомендации разработчиков WordPress после устранения ошибок нужно постараться «закрыть» все уязвимости системы. И вот тут то вопросов возникает больше чем ответов. Как злоумышленник смог попасть в базу данных без логина и пароля (очевидно, что они не были украдены, так как в противном случае он бы мог вообще весь сайт удалить). Как он смог убрать виджеты и создать свой. Учитывая что проблемы наблюдались на совершенно разных версиях вордпресс с разными плагинами — очевидно, что проблема в ядре системы. Что ж будем ждать очередных обновлений, по информации с форума глюку больше 2х недель, а заплатки на помент написания статьи нет (версия 3.5.1 не спасает).

рейтинг Оцените статью:
Ужасная статьяНичего интересногоТак себеНормальноХорошоКлассный постВ закладки!
(голосов - 8, средний балл: 6,75 из 7)
Загрузка...

категория Категории: Безопасность;
теги Теги: , , , .

комментариев 15 к статье “Решение проблемы (хака) в wordpress «hacked by Badi»”

  • Александр   29.01.2013

    хостинг (hc.ru) заблокировал мой ресурс за почтовый спам.. который рассылался через mailer.php
    по адресу: \wp-content\themes\piano-black\js (piano-black — активная тема)

    когда я сделал бекап на свой компьютер мой антивирус (node32) отругался еще на пару файлов:
    wp-content\plugins\akismet\akismet.php PHP/Obfuscated.E
    wp-content\themes\piano-black\archive.php PHP/Obfuscated.E

    мне пришлось их удалить как и mailer.php

  • Дмитрий Донченко   30.01.2013

    А вопрос, проблема на разных версиях WP это понятно, а аккаунт хостинга один? Возможно просто есть данные по доступу на хостинг, т.к. о уязвимости в ядре уже было бы известно, и уже давно бы пофиксили ее.

    И судя по форумам wordpress это так и есть, проблема не в самом WordPress, код вставили либо через уязвимость другого движка на этом же аккаунте, либо просто получили доступ к хостингу. :(

  • Валентин   30.01.2013

    У меня как-то по осени тоже блог хакнули. Кодировка не была поменяна, не работала только главная страница. Главная страница была черной и по середини надпись, что вскрыл такой -то тип, но не этот.

  • Vladimir   30.01.2013

    Как ни странно но тоже попадал в ситуации когда мои проекты какието «мудаки» хакали)

    но мне просто с хостингом везет, они регулярно бекапы делают фтпшника и базы данных, поэтому восстановление не было проблемным. А вобще сколько работаю с wp то никак не могу въехать как его ламают %)

  • Tod   30.01.2013

    Дмитрий, аккаунт хостинга один, но для каждого блога своя панелька и база данных с логинами и паролями. Связь между ними только одна — общая учетная запись либо проблемы с ФТП паролями. Второе вроде как нет, т.к. остальные сайты слава богу в порядке, первое — ну, сложно сказать, там еще была Joomla и DLE — они в порядке. Вариант хака черед другую CMS — это интересно, но опять же связи между одним сайтом и другим нет в плане доступов и паролей. Это прям какой-то экзотический случай хакать DLE чтобы добраться до WP.

    Я конечно сильно не вчитывался в забугорные форумы, кое какие мысли заинтересовали:
    — доступа к БД в прямом смысле хаккер не получал, т.к. изменены только 2 параметры в одной таблицы. это как-то ну очень мало. хотя может он со странностями и просто хотел поменять кодировку.
    — доступа к ФТП вроде тоже как нет, поскольку он мог бы хакать вообще все подряд, в том числе менять кодировку через wp-config, заливать вредоносные скрипты, а не лезть в БД. К тому же обычно хак по ФТП меняет php файлы (тот же index). Здесь же для отображения своего никнэйма чувак создавал виджет(!) .. это как минимум странно.. index исправить нельзя было бы, а виджет убрать делов на 2 секунды. Может это добрый хаккер)

    Но вообще без понятия что там и как. Может проблема в хостинге в каком-то там Apache, отписал на всякий случай хостеру. Надеюсь такого не повторится) Но ощущение что в WP не прям полно, а хватает дыр меня никогда не покинет, постоянные эти версии х.х.1, х.х.2 и т.п. тому подтверждение.

  • Дмитрий Донченко   30.01.2013

    Александр, самый простой вариант как это может происходить, это взломанный почтовый ящик, в котором лежит письмо от хостера, в котором есть пароль например от root для mysql :)

    Подождем, что скажут разработчики, может действительно какая-то мегодыра в wp ;(

  • Tod   30.01.2013

    Дмитрий, тогда бы похакали все сайты и всех хостингах) не пожелаешь и врагу такого. Вообще последствия оказались не такими катастрофическими, как я думал в первый раз, когда увидел)) Час работы пришлось убить и как назло после 2-х ночи заметил.

  • Klim   01.02.2013

    Спасибо вам огромное. Столкнулся с такой же проблемой! Замечательно, что автор хака не поленился написать свое имя, по нему и нашел вашу статью. Все сделал, восстановил боковую панель! Хорошо, что не пришлось делать полный бэкап, т.к много записей пришлось бы восстанавливать с нуля за последние полмесяца. Спасибо! Счастья!

  • radios   02.02.2013

    спасибо, ваша статья помогла оперативно восстановить работоспособность сайта. а виджеты, надеюсь, вернутся из бекапа хостера.

  • Lina   13.05.2013

    Спасибо большое — очень помогли! В дополнение к вашим советам, я бы порекомендовала переписать данные wp-config на всякий случай :)

  • Sergey   19.06.2013

    Также столкнулся с PHP/Obfuscated.E — все wordpress сайты на аккаунте хостера были взломаны. Сайты на других CMS остались нетронуты. Мне не стали изменять ни кодировку, ни название сайта, ни виджеты, просто создали дополнительную папку и накидали в неё более 3000 html файлов со ссылками, так что блог стал похож на дорвей. Если судить по времени появления зараженных файлов и по логам Апача, то перед добавлением .php файлов с вредоносным кодом в логах видно множественные запросы к файлу wp-login.php — похоже на Brute Force Attacks. Причем запросы одинаковые, но с разных IP-адресов. По исправлению проблемы есть рекомендации в кодексе: http://codex.wordpress.org/Brute_Force_Attacks. Можно также переименовать файл wp-login.php. Параллельно со множественными обращениями к wp-login, просиходил парсинг feed-ленты с помощью SimplePie/1.2 с IP-адресов: 141.8.192.26 и 91.206.200.78.
    Причем, опять же, судя по логам Апача, буквально сразу же после загрузки тысяч .html файлов к ним начал обращаться поисковый бот Яндекса.

  • and   18.09.2013

    Ситуация один в один, только хак. хорватия. Спасибо автору, все восстановил, а виджеты не беда, можно и ручками. И еще: версия стояла последняя 3.6.1, так что всех предупреждаю. С Ув.

  • Даниель   18.07.2014

    Ну не знаю сколько я не ставил защиты меня все равно взламывали, скажу как есть от хакеров не застрахован ни кто, так как нет еще такой усовершенствованной защиты что бы ни один хакер не взломал.

  • Tod   18.07.2014

    Даниель, согласен, но все равно есть разница между «отсутствием любой защиты» и «примененными 2-3 методами защиты блога». Хакеры бывают разные и часто балуются какие-то любители, в таком случае базовая защита поможет.

  • Александр   25.06.2017

    Спасибо! Шесть часов боролся с этой проблемой. Вы мне помогли.

Оставить комментарий


Блог Wordpress Inside поможет вам научиться работать в вордпресс, закрепить и расширить имеющиеся знания. Плагины и шаблоны, разные хаки и функции wp, оптимизация и безопасность системы – все это и намного больше вы сможете найти на страницах нашего проекта!

Если хотите быстро и оперативно получать последние новости и статьи, то рекомендуем подписаться на обновления блога:

Поиск:
Последние посты
Лучшее в категории

Облако тегов
Скажи свое мнение!

В чем основные плюсы Wordpress?

Посмотреть результаты

Загрузка ... Загрузка ...
Друзья проекта
Последние новости