CYBERWOLF: parchant se vrátil. Tentokrát ho strejda google našel dřív, takže jsem i něco vyčetl z logů. Vypadá to, že mě nějakej skopčák s botnetem připravil o středu a pokazil reputaci u Googlu. Děkujem pěkně.
Nejsem si jistý, jestli se to tam dostalo znova, nebo jestli jsem to někde nechal od posledně. Takže jsem celý web hodil do stoupy a obnovil z dva roky staré zálohy, která vypadá čistá.
Podle access logu tomu předcházelo docela dost pokusů u přihlášení, dotazy xmlrpc.php a soubory pluginů, které na webu nemám (tj. zřejmě hledání zranitelnosti). Jednalo se o pokusy z mnoha různých IP.
Našel jsem škodlivý kód vložený do 4 souborů (zřejmě se jedná o mírně upravené názvy jinak existujících souborů):
\wp-includes\customize\class-wp-customize-filters-setting.php
\wp-includes\images\smilies\icon_reds.gif
\wp-admin\images\align-lefts.png
\wp-admin\includes\medias.php
Zdá se, že data změny souborů jsou nastavena na podle již existujících souborů, aby to nebylo snadné najít.
Když se tyhle soubory zavolají s nějakými POST parametry (z accesslogu není patrné jakými), tak udělají adresář /widgetso/ a nafrkají přesměrování do .htaccessu. To se mi stalo během doby co jsem to likvidoval.
Úplně do detailu jsem nezkoumal, co ten kód dělá, protože je to hodně znečitelnětelé. Domnívám se, že se rozstrká do různých souborů které mají podobné názvy jako soubory, co tam mají být a pak je bot spouští, když nenajde /widgetso/
Pokud chcete prohledat své soubory, doporučuji hledat (včetně fragmentů a variant):
@ini_set('display_errors', 0);@set_time_limit(3600);
$q1 ($q2, $q3 ...)
různé kombinace 0 a O, např. OO0O00