RomaRomaRoma,
Я так же поступил )
Пару плагинов защиты.
Чистка БД.
И, главное, права на файлы!
Пока четвертый день ттт ))
Будем смотреть дальше ))

RomaRomaRoma,
Наивно считать, что этот чудо-плагин поможет. У меня давно админка спрятана, это не поможет. Через 2-3 дня опять редирект вернётся. Шелл заливают через уязвимость в файлах именно этого плагина. Возможно где-то спрятан скрипт в base64. Прошу башковитых подключиться к решению ребуса и выудить наконец-то засранца

Stig710,
Мониторил, файлы не модифицируются и атрибуты не меняются. Каким-то образом негодяи напрямую получают доступ к MySQL и там прописывают себя в wp_options

Остаётся только ждать решения или, как вариант, откатываться на более ранние версии. Не факт, что откат поможет, если шелл заливается через некую функцию плагина, которая неизменна от версии к версии. имхо

dmitry.che,
Получается что прописывается только редирект в БД?
Остальные таблицы и файлы не затрагиваются?

Stig710,
Прогонял через айболита на хостинге в параноидальном режиме, изучал отчёт и потом смотрел вручную в файловом менеджере. Итог: в файлах нет изменений, ноги растут из БД. А вот как туда получен доступ, ответить не могу. Поддерживаю версию, что шелл заливается через некую функцию плагина, которая неизменна от версии к версии. Но вот вопрос: это касаемо всего плагина или только NULLED версии?

Скрипт стучит своему хозяину и сливает доступ к БД сайта, они ведь открыты и не зашифрованы в wp-config. А вот к админке сайта не пробиться, ведь пароль MySQL закодирован, но зато все ваши прятки админок там хорошо видны - есть адрес входа и логин. Поэтому для злодея самый простой вариант, например, Зенкой на автомате зафигачить редирект на пару сотен сайтов. Меняете доступ к БД, рано или поздно данные уплывут. Я ради спортивного интереса не отключаю плагин, понаблюдаем

Думаю проблема только в нулёвке.
Оригинал бы разраб после жалоб пофиксил бы сразу.
Мускул не знаю, только в общих чертах и принципах работы. Поэтому и вопрос - возможно ли залочить поля таблицы? Только для чтения.
Ведь в _options практически ничего не меняется.

стоял данный плагин долго на сайте, верия 53, и тут смотрю редиректы с начала сентября такое появилось... весь мусор в БД, почистил удалил плагин, больше ставить не буду

1. Уязвимость уже как 3 версии пофикшена, удаление проверки лицензии никак на это не влияет.
2. Сканируйте тщательней сайты, ставьте Wordfence, после взлома могут быть шелы и на других сайта хостинга (все зависит от настроек). Меняйте пароли, в том числе и к БД,
3. Изучайте логи и будет видно как и куда подключаются.

У кого после обновления ничего не меняется, значит еще есть шелы.

raz0r,
Как ни странно, Wordfence стоит. Ничего не поймал (
Попробуем новую версию )) .5

Сегодня в логах
IP 41.231.36.25
Country Tunisia
Method GET
Path /wp-login.php
И чтобы ему надо было в wp-login.php?

dmitry.che,
И не только там )

46.161.14.104
46.161.14.104
29.09.2021, 07:41
Попытка доступа к запрещенному URL Запрещено
/wp-login.php



46.161.14.104
46.161.14.104
29.09.2021, 07:41
IP заблокирован Попытка доступа к запрещенному URL



46.161.14.104
46.161.14.104
29.09.2021, 07:41
Попытка доступа к запрещенному URL Запрещено
/wp-login.php



159.138.86.85
cloud-linux108.thaidatahosting.com
29.09.2021, 06:41
Проверка на уязвимый код Запрещено
/wordpress/wp-admin/includes/wp-admins.php



159.138.86.85
cloud-linux108.thaidatahosting.com
29.09.2021, 06:41
Проверка на уязвимый код Запрещено
/wordpress/wp-admin/includes/wp-admins.php



159.138.86.85
cloud-linux108.thaidatahosting.com
29.09.2021, 06:41
Проверка на уязвимый код Запрещено
/wordpress/wp-admin/includes/wp-admins.php



80.95.45.135
host-80-95-45-135.dsl.sura.ru
29.09.2021, 02:08
Спам коммнтарий отклонен Обнаружен бот
/wp-comments-post.php



51.89.165.232
vps-f6f6dbfb.vps.ovh.net
28.09.2021, 22:25
Проверка на уязвимый код Запрещено
/wordpress/wp-loads.php



31.177.95.144
uweb5005.sys.nichost.ru
28.09.2021, 21:22
Проверка на уязвимый код Запрещено
/files.php



23.228.109.147
23.228.109.147
28.09.2021, 11:29
Проверка на уязвимый код Запрещено
/sites/all/libraries/elfinder/src/connectors/php/connector.php



197.234.132.1
197-234-132-1.cipherwave.net
28.09.2021, 09:55
Проверка на уязвимый код Запрещено
/wordpress/wp-blog-headers.php

Всем привет! У меня тоже кучу этих попыток взлома и проверок, кашмар, закрутить его, голову открутить ему и выкинуть его... Новая инфа. Давным давно, когда уже стоял этот плагин, на некоторых сайтах стояла открытая регистрация, где то я специально открыл, где то не заметил, вообщем спустя я не знаю скажем год полгода зашел в пользователи на одном из сайтов и увидел новых пользователей, ну думаю прикольно, кто- то что- то напишет статью на сайте(наивный), потом прошло время опять зашел, а ведь в пользователи захожу вообще редко (как я понял потом), так вот зашел и увидел пользователя с правами админа (чуть со стула не упал , скорее его удалил, и дальше занимался своими делами. Спустя время опять решил посмотреть и опять увидел гдето на другом сайте админов кучу и удалил. Прошелся по остальным, тоже везде удалил, но регистрацию в настройках не закрыл (лопух).. Потом еще время, и тут вышел обновленый плагин, скорее ставить, И тут спустя время понеслась, три ночи контроля сайтов, изменения урлов в базе в строке options, и шелестения сайтов на признаки..... Вот примерно все так было. Особо ничего не нашел, только удалил всех пользователей, закрыл регистрацию, ну и всякая защита. Ну кстати еще заметил в плагинах папку, которую не ставил вроде, плагин был не активирован, называется непомню как, примерно: wp-tripple, wp-wripple, wp-brippel, что то с wp- и с двумя буквами в середине. Сейчас вроде как пятая ночь норм. Сижу и жду ....

Продолжение....

Кстати спустя эти дни , вот сейчас внизу плагинов в админке заметил вот это...

Quick Feedback
If you have a moment, please let us know why you are deactivating :
I found a better plugin
The plugin suddenly stopped working
I only needed the plugin for a short period
I no longer need the plugin
The plugin broke my site
It's a temporary deactivation. I'm just debugging an issue.
Other
We will receive the following information from you: site address, php version, Wordpress version, version of our plugin, this will help us better understand the causes of the problem. If you don't want to send this data, click the "Anonymous" checkbox.

Anonymous feedback
Skip & Deactivate Cancel

Еле заметил, ели скопировал, так как смещен текст

Что за плагин, незнаю, не ставил вроде такой. незнаю и раньше был или после всех этих мероприятий?!?
Вообщем причина возможно кроется в: пользователи в связке с плагин

Есть ли Альтернативный плагин с похожим функционалом?

Была та же проблема с версией 3.53.0 - редиректы и ссылки в базе данных. Хорошо, что быстро реагировал и поисковики не успели заметить. Шеллов нигде не обнаружил, плагины для защиты ничем не помогли - примерно через неделю опять появлялся редирект. Обновил всё, что было возможно и настроил cloudflare. Сейчас вроде держится, но даже не знаю, стоит ли пользоваться этим плагином..

atum,
На последней .53.5 так же?

Тут есть похожий плагин: wp-content-pilot-pro
Очень схожий функционал.
Но, у меня не получилось с ним ничего обработать.
Простейший фид не видит. Говорит нет такого. А он есть ))
Может, конечно, не все настройки сделал. Хотя хз... Вроде не дурак и не первый раз ))
Может кто-то с ним разберется и проверит?

Stig710,
3.53.5 что-то пока даже не хочется запускать..

в соседней ветке этого же разработчика тоже коммент со взломом https://prowebber.ru/wordpress-cat/wp-modules/23822-pinterest-automatic-v4103-nu
lled-avtomatizaciya-deystviy-v-pinterest-wordpress.html


есть предположение что в файлах плагина запрятан код, который сигнализирует о неправомерном использовании плагина и отправляет информацию разработчику, который возможно таким образом потом наказывает взламывая сайты... но это ппц конечно, если так... по сути он с официального плагина такой же доступ имеет...
надо будет почитать на странице продажи плагина комментарии, возможно это вообще имеет массовый характер.


плагины защиты не спасут! тем более если ты установил этот плагин с шеллом сам ) шелл это та же админка, только через черный ход.



ну вы чего? )
подобные атаки в логах еще до установки плагина были )))
это спамеры и прочие хакеры пытаются подобрать пароль к админке... у плагина есть свой доступ под названием шелл, ему не нужно ничего подбирать, у него все доступы как на ладони...

UP!
на официальном сайте тоже есть комментарий про редирект, странно только почему всего 1 коммент :) хотя я только за последний месяц искал комментарии...

вот ссылка на комментарий https://codecanyon.net/item/wordpress-automatic-plugin/1904470/comments?page=289
&filter=all#comment_27220363

разработчик посоветовал лишь откатить и обновить плагин... да уж... )

romer,
Да понятно всё ))
Атаки извне были и будут.
А вот как с "неавторизованным" шеллом бороться?
Не мы первые. Гуглил... ничего путного не нашел.


romer,
Откатить и обновить???
Нк откатился ты на пару версий назад. Обновился до последней.
И? В чем смысл?

я сам пока ищу информацию как вычислять подобные трояны...


ну как в чем... ключевое слово "обновить плагин до последней версии" ) ну а дальше ждать и верить в чудо! ))) что больше никто не ломанет...

вот почитайте про плагины защиты на вордпресс https://spy-soft.net/wordpress-security/

Подобные изречения разработчика плагина натолкнули меня на мысль, попробую изложить простым языком. До определённой версии плагина была "дыра", возможно, поэтому и официальная версия и нулед версия были уязвимы. Но в случае с офицальной версией было проще, ведь там у 90% пользователей стоит автообновление, поэтому быстренько пофиксили и выкатили в репозитарий. А другим 10% как раз и надо было "лишь откатить и обновить плагин", возможно кто-то не обновлялся вообще, а кто-то залился сырой версией. А разработчик, чтобы не "сесть в галошу", мог неоднократно и очень быстро подменять пофиксенные версии под тем же номером в репозитарии вордпресса. А старые непофиксенные версии стали по долгу гулять в виде нулед. Ведь здесь большинство же пишет, что работают на старых версиях и не спешат обновляться. Как выше писал админ (я на 100% согласен), обновитесь, удалите кэш, почистите (урлы редиректа поселяются во многих таблицах) и поменяйте доступы к БД. У меня на тестовом сайте полёт нормальный. Потом отпишитесь сюда, у кого что по итогу

ВСЕМ Привет! ВНИМАНИЕ! ВНИМАНИЕ! Информация для тех кто любит и может искать дыры. Дней 5 - 10 было норм, но сегодня увидел что мою почту в админке сменили на почту взломщика, но ничего не пострадало. Зашел в свой user? почта в порядке. Оказывается она была вписана в базе в две строки: в admin_email и auto_core_update_notified. Вторая как раз связана с эти плагином. Я не спец в этом. Но попутно для размышления и поиска дырки есть статья, в ней чтото про оповещение, почту итп. Вот: https://runebook.dev/ru/docs/wordpress/classes/wp_automatic_updater/send_core_update_notification_email Что то в этом файле наверно плохое... wp-admin / includes / class-wp-automatic-updater.php