Ваш сайт взломал Hacked by Badi (+ADw)? Решение есть!
На днях ко мне обратились мои клиенты и сообщили о том, что их сайт странно отображается и на почту пришло письмо от хостера, в котором он сообщает о взломе их сайта.
Я сразу зашел на сайт клиента и увидел, что полетела кодировка, появились кракозябрики, сменился заголовок сайта на это:
+ADw-/title+AD4-hacked by hacker+ADw-DIV style+AD0AIg-DISPLAY: none+ACIAPgA8-xmp+AD4-
Слетели виджеты и сменился пароль на админку.
Сам контент и стили были в норме.
Эта картина подтвердила информацию о взломе сайта…
Итак, мы имеем дело с кулхацкером hacked by Badi, который поламал кучу сайтов. Эта эпидемия продолжается уже где-то больше 2-х недель.
Закономерность одна: взломаны сайты работающие на wordpress разных версий (3.4, 3.5, и даже 3.5.1). В плане хостинга закономерности нет — хостинги и страны разные. Защита на сайтах тоже разная. Я думаю, что хакер нашел уязвимость в самом движке. Ведь он каким-то образом вносит свои изменения в базу данных и при этом не трогает файлы.
Симптомы
Что делает наш кулхацкер?
1) меняет заголовок сайта
2) меняет заголовки в ссылках rss
3) меняет кодировку UTF-8 на UTF-7
4) удаляет ваши виджеты
5) добавляет свой виджет с кодом внутри:
document.documentElement.innerHTML = unescape
6)меняет пароль на админку
Лечение
Есть самый быстрый и простой способ восстановить сайт — это восстановить базу данных из резервной копии. Таким образом мы затираем все изменения сделанные хакером.
Или в ручную:
Восстанавливаем кодировку и пароль на админку
Заходим в Phpmyadmin.
а)Кодировка
В таблице wp_options (по умолчанию используется префикс wp_, но у вас может быть другой) нужно изменить параметр blog_charset. Сохраняем.
б) Пароль на админку
В таблице wp_users находим пользователя admin. Редактируем поле user_pass (в колонке Функция выбираем md5, а в колонке Значение пишем новый пароль). Сохраняем.
Восстанавливаем заголовки и виджеты
а) Заголовок
Заходим в Параметры — Общие. Меняем название сайта.
б) Виджеты
Заходим в Внешний вид — Виджеты
Удаляем текстовый виджет хакера и восстанавливаем свои виджеты.
Профилактика
- Проверьте свой компьютер на вирусы и трояны.
- Поменяйте пароли в админку сайта, в панель управления хостингом, на базу данных и фтп.
- Проверьте сайт на вирусы.
- Установите плагины защиты (например Better WP Security, Block Bad Queries)
- Обновите версию WordPress
- Обновите плагины
- Обновите вашу тему WordPress
- Обновите секретные ключи в файле wp-config.php.
- Делайте регулярно резервные копии сайта и базы данных.
- Не сохраняйте пароли в браузере и ftp-клиенте.
Столкнулись с похожими проблемами? Не знаете как их решить? Нет времени чтобы копаться и разбираться во всем этом? Обратитесь к специалисту!