thelonecuber
  • 0
Новичок

Кто-нибудь сталкивался со скрытыми пользователями WordPress (MultiSite) (возможно, взломанными)?

  • 0

У меня есть 2 установки WordPress MultiSite (на разных учетных записях, но под одним и тем же реселлером HostGator a/c), и обе, похоже, были скомпрометированы. Я говорю «скомпрометировано», потому что user_logins были изменены (каким-то образом) и «скрытые пользователи» отображаются через WP Admin.

Я попытался войти в систему для установки, которая является актуальной (3.1) MultiSites. Я использую 1PassWord (с 50-символьными буквенными + числовыми + символьными паролями), поэтому слабые пароли не проблема. Мои логины (которыми я пользуюсь каждый день) были отклонены, поэтому я знал, что есть проблемы.

Я могу получить доступ к phpMyAdmin и, конечно же, user_logins и user_email были изменены. И если я меняю их через phpMyAdmin, то через 5 минут они редактируются заново (теперь кажется, что я даже этого не могу сделать). * Интересно, я не думаю, что вы можете изменить имя пользователя в WP Admin (оно скрыто и недоступно для редактирования). Означает ли это, что они взламывают внешний интерфейс администратора WP, чтобы изменить это?

Кроме того, на пользовательской панели отображаются 3 пользователя, но количество (вверху) указывает на то, что всего 5 пользователей. Суперадмин — это симуляционная история — он показывает счет как «3 суперадминистратора», но отображается только 1. (Я проверил исходный код и использовал инструменты веб-разработки, чтобы попытаться найти скрытый контент на этих страницах администратора, но без особого удовольствия).

Я надеялся добавить нового суперадминистратора и удалить старого суперадминистратора (после переноса сообщений на нового пользователя-администратора). Но я не могу удалить исходного пользователя суперадминистратора (ID=1) даже после создания нового суперадминистратора и удаления привилегий суперадминистратора с ID=1. Когда я нажимаю «удалить» (при наведении ID пользователя = 1), ничего не происходит; страница просто обновляется.

HostGator оказался на удивление беспомощным, возможно, безнадежным и ОЧЕНЬ медленно справился с этим вопросом. Который продолжается. Может ли кто-нибудь дать мне совет или помочь в любом случае.

Share
  1. подсчет не проблема: это остатки от удалений в таблице метаданных, см. мой вопрос об этом давно: wordpress.stackexchange.com/questions/3332/… так что у вас на самом деле только 1 суперпользователь и 3 пользователя ( !)

    • 0
  2. Я бы в первую очередь изменил пароль для phpMyAdmin, потому что я думаю, что они должны получить, хотя следующая вещь БД, если это не сработает, но пуля и сделать чистую установку, но сделать резервную копию всего поста и, возможно, комментариев, если хотите от.

    • 0
  3. Используете ли вы какие-либо пиратские плагины или темы? Я видел, как это произошло на нескольких клиентских сайтах, потому что они установили плагин, для которого не хотели покупать лицензию, многие релизеры вареза помещают скрытый код в плагины и темы, которые выполняются при установке и каждой последующей загрузке..

    Хотя есть несколько эксплойтов на основе хоста, влияющих на Mediatemple и Hostgator, которые, как я знаю, могут вызывать подобные вещи. Создание мошеннического пользователя необычно, обычно ваш сайт взломан и перенаправлен на мошеннический веб-сайт аптеки или что-то в этом роде.

    Если бы я был на вашем месте, я бы изменил тему вашего сайта на стандартную и посмотрел, перестанут ли пересоздаваться учетные записи и вноситься ли изменения. Затем, если это не проблема, отключайте свои плагины один за другим, пока не увидите, что они останавливаются. Если это не сработает, основные файлы были скомпрометированы, и вам придется выполнить переустановку.

    Код эксплойта WordPress обычно прячется в папке wp-includes, а затем несколькими уровнями ниже в каталогах тем TinyMCE. Надеюсь, это помогло.

    PS. Установите вышеупомянутый плагин «Bulletproof Security» и плагин «Vaccine», которые очень помогут.

    • 0

Оставить ответ

You must login to add an answer.