Пару недель назад…
Версия блога на WordPress успела обновиться с 2.7 на 2.8, а к старой к этому времени версии хакеры уже успели найти кучку дыр приводящих после определенной последовательности действий к выдачи взломщику вашего пароля или возможно даже сразу доступа к админке.

Нечто похожее произошло и с одним из моих блогов. Хакер и спамер по совместительству каким-то образом «поимел» один блог сменив пароль и эмайл адрес в админке на свои, и импортировав свой забитый спам постами xml файл, с кучей неприличного адалт контента, и еще большей кучей линков на дерьмовые пoрнo сайты являющиеся как я понял платформой для дальнейшего слива трафика через tds (систему распределения трафика).

Хорошо блог тот был и не совсем даже блог, точнее сплог толку от которого практически не было (так как не было нормального ссылочного), и хоть он и был в индексе, поисковые боты заходили на него довольно редко и к моего счастью к тому времени процитировать новый, и явно не совсем тематический контент, выкинуть блог из индекса или наложить фильтры не успели..

При входе в админку взломанного блога первая ожидаемая неприятность – ваш пароль не проходит. При попытке восстановления по ссылке – забыли пароль, ссылка на генерацию нового пароля уходит.. но не вам!!! а хакеру ;) так как эмайл адрес он конечно же так же сменил на свой..

Как восстановить доступ к своему же блогу? И как защитить блог от взлома?

Вообщем пришлось въезжать в тему дабы восстановить работоспособность как можно быстрее + по возможности максимально обезопасить себя в будущем от таких неприятностей.
Тема хакинга наполовину запретная тема, но для общего развития никто не может запретить вам изучать те или иные материалы, попробовать поломать свой блог или блог своего друга ;) (конечно же только с его согласия) и т.д. и т.п. вообщем материалов в сети по взлому достаточно, что наверное и направляет многих на этот путь. Для тех же кто подумывает заниматься чем-то таким, искренне не рекомендую, так как мало того, что это просто не законно, и попасть по тупости вам будет проще простого просто ‘зацепив’ кого-то из серьезных людей (серьезных сайтов, проектов и т.п.).
ВСЕ без исключения логи входящих и исходящих коннектов хранятся в базе данных провайдеров, большинства прокси серверов (даже из тех кто зовет себя – анонимными) и тем более серверов на которых располагаются сайты.

Но мне понадобился взлом своего же блога, чтобы получить к нему доступ снова. Перебирать свои параноические пароли не представлялось возможным, так как длина их обычно за nn-ым количеством символов которые я набираю вручную с бумажки прилепленной к своему монитору ;)
Поправочка хакерам задумывающимся взломать мою квартиру с целью утащить эту бумажку, ребята ничего у вас не выйдет, так как данные на бумажке хранятся в беспорядочном виде без привязки домен=пароль и только взломав мой мозг можно получить из этого что-то полезное. Хотя.. честно сказать половина паролей там вообще хз для чего и к чему.. Наверное для еще большей путаницы.. Ну тема не в этом..

Блог на движке WP хранит пароли в базе данных MySql зашифрованным довольно крепким алгоритмом MD5. Поэтому даже добравшись до базы (путь в базе данных к строке с паролем такой – wp_users > user_pass) вы увидите не сам пароль а 32 беспорядочных символа. Дело за малым..

Не получается расшифровать, зашифруем и сменим на свой! Создаем в корневой папке блога PHP файл с таким кодом:


$blog = md5("Здесь_Ваш_Новый_Пароль");
echo $blog;
?>


и запускаем его через браузер. Функция MD5 зашифрует ваш пароль и покажет вам на экране результат шифрования. Остается только заменить результат в базе данных и все! Можно лезть в админку с новым паролем. Если данные действия проводятся после последствий взлома а не экспериментов, рекомендую сразу же проверить настройки, список зарегистрированных пользователей и e-mail адреса, так как сменив пароль, но не сменив почту взломщика риск опять быть поломанным остается. К тому же еще проще, взломщику остается только сделать восстановления пароля на свой ящик и он снова в админке вашего блога..

Способы защиты блога на движке WordPress

Дабы узнать как защитить себя, желательно знать как тебя могут сломать..

После некоторых поисков пришел к выводу, что в большинстве случаев (именно с блогами на WP) ломают через дырявые (неправильно написанные) плагины, иногда через дыры в самом движке WordPress’а но актуально это только со старыми версиями, так как на новых их быстро исправляют разработчики, и хакерам нужно время, чтобы найти их снова. Самые редкие случаи, и наверное самые опасные (потому что одним блогом тут может не обойтись) взлом FTP сервера где лежит сайт.

Итак. От взлома блога через криво написанные плагины могут спасти только новые версии этих плагинов или отсутствие плагинов вообще. Но усложнить поиск дырявых плагинов взломщику можно достаточно просто. В папку http://вашБлог.ru/wp-content/plugins/ закинуть пустой index.html

Почему то по умолчанию разработчики не сделали этого, что позволяет (при отстутствие индексного файла в этой папке), набрать url в браузере и… посмотреть весь список используемых вами плагинов.
Можете попробовать прямо сейчас посмотреть видно ли ваши плагины таким способом ;)
Тоже самое кстати касается и папки themes. На всякий случай и туда можно закачать пустой индекс, так как и в темах тоже могут быть дыры (и чем тема навороченней – кол-во функций, ява и т.д.) тем большую опасность она может представлять.

От взлома через дыры с устаревших версиях может выручить только регулярное обновление. И по моему глуп тот, кто думает зачем мне эта новая версия, фишек в ней новых нет (встречал такой флуд на форумах), что в ней такого, подожду следующей если там что-то новое будет обновлюсь…
Обновляться или нет дело конечно личное, но стоит учесть, что в новых версиях совершенно любого программного обеспечения разработчики в первую очередь исправляют ошибки а уж потом добавляют новые функции. Возможно в версии 2.8. этих функций не так уже и много (зато подсветка синтаксиса как радует), но некоторые ошибки были исправлены.

Кстати, после автоматического обновления через админку блога в папке на хостинге может появится и файл wp-config-sample.php который используется только при первичной установке блога, после чего переименовывается в wp-config.php в котором хранятся пароль и логин для доступа к базе данных MySql. Файл -sample.php лучше удалить, а на wp-config.php установить права доступа не больше 644. Права доступа на другие файлы и папки тоже стоит перепроверить, так как излишние (особенно 777) только создают дополнительную возможность для взлома.

Еще один метод защиты обычно предоставляет сам хостинг. Почти в каждой панели управления есть возможность установить парольную защиту на определенные папки. В нашем случае это может быть папка wp-admin/ . Включаете функцию, выбираете папку, ставите на нее пароль. Таким образом у вас получается два пароля для входа в блог, что может быть и не создает дополнительного удобства, но безопасность от этого только повысится.

Другой вариант (и может быть даже лучший!) ограничить доступ к определенным файлам и папкам по своему IP адресу. Делается это при помощи файла .htaccess в который добавляется следующий код:


Order Allow,Deny
Allow from 192.168.1


Где 192.168.1 ваш IP адрес. Создав такую инструкцию доступ к файлу wp-login.php будет возможен только с адресов в диапазоне 192.168.1.1-192.168.1.255
Если у вас постоянный (выделенный) IP адрес просто пропишите его полностью.

Тоже самое сделаем для папки wp-admin/
Создаем файл .htaccess в котором пишем:

Order Allow,Deny
Allow from 192.168.1

Файл закачиваем в саму папку. Не забудьте сменить IP адрес на свой! Все.
Теперь доступ к админке вашего блога только с указанного ip адреса.

Кстати, как вы наверное поняли, данным способом можно защищать не только админку блога, но и файлы и папки любых других движков/сайтов/магазинов и т.д. и т.п. доступ к которым у вас есть.

Про взлом и защиту сервера можно написать отдельную статью. Да что там статья люди пишут довольно интересные книги по этой теме. А тема эта длиной в бесконечность… Существует сотни способов взлома/перехвата/перебора паролей для доступу к серверам, десятки тысяч уязвимых скриптов, и огромное множество ленивых администраторов не латающих дырки, подвергая сайты и аккаунты клиентов риску быть взломанными. Но несколько советов я все-таки могу вам дать.

Не хранить пароли в кукисах браузеров и вообще на компьютере. Т.е. просто не ставить галочки на ‘запомнить пароль’ для жизненно важных сервисов. Если же решили хранить секретные данные на своем компьютере, лучше всего для этого подойдет виртуальный защищенный PGP диск.

PGP диск обладает настолько сильным алгоритмом шифрования, что по некоторым данным справится с ним (при наличии длинных паролей) не могут даже спец.службы. Возможно поэтому во многих странах с некоторых пор появилась поправка вроде ответственности за не предоставление информации для расшифровки.

Если есть причины не использовать pgp (мало места, чужой компьютер и т.п.) может выручить usb флэшка с данным если не в pgp то хотя бы в зашифрованном архиве. Некоторые архивы RAR последних версий по данным многих хакерских сайтов менее подвержены взлому/перебору паролей, чем архивы формата ZIP. Одно но! Рельно сложным для перебора паролем является комбинация различных букв, цифр и знаков (совместно и в перемешку) длиной не меньше 13 символов. Это касается не только архивов а без исключения ВСЕХ паролей для совершенно любых сервисов! Для перебора пароля вроде этого: jHDlo2Zw/)&kF#lBV понадобятся годы работы программы переборщика даже при использовании целой сети мощных компьютеров. А ваше возможное: 12345, или qwerty, или pupkin77 подбираются любой специализированной программой по словарю (!) может быть даже за несколько минут..

ps. данный пост будет всегда актуален, так как будет редактироваться мною при нахождении новой информации по этой теме, выхода новых версий блога или появления новых уязвимостей в нем.

SSH намного защищеннее FTP (пароли в ftp протоколе никак не шифруются и перехватываются любой программой сниффером без каких либо проблем (здравствуйте провайдер ;) ).

Отсутствие блога намного безопасней его присутствия..

Как владелец целой кучи различных сайтов,  я являюсь участником многих партнерских программ.

Некоорое время назад, на одном из своих сайтов, а точнее обзор бесплатного хостинга  в рамках участия в партнерской программе, была размещена реклама очень популярного (почему-то!?) хостинга:

 http: // e s e r v e r. ru

(битая ссылка сделана специально, нечего передавать пр хостингу, который этого не заслуживает)

Мой вышеуказанный сайт совсем небольшой, но как раз по теме (краткий обзор бесплатного хостинга для новичков и пару партнерских ссылок на платный хостинг).  Из многих партнерских программ был выбран eserver, так как условия для участников партнерской программы выглядели достаточно серьезно и перспективно.

Посещаемость на сайте  мальнькая, но трафик шел исключительно целевой  с поисковых систем по запросам связаным с хостингом. За несколько месяцев по партнерской ссылке ушло
(на сегодняшний день по статистике в аккаунте на eserver) – чуть больше 210 человек,
было 4 заказа, из них пока только один оплаченый, Но!

В правилах eserver хостинга для партнеров написано, что оплачиваются переходы, если процент покупателей не менее 1 к 200, в моем случае так и выходит.
Хотя честно сказать, если бы дело было только в кликах, я бы даже не пытался разобраться в причинах, плюнув на эту «компанию», но был заказ, и клиент пришел от меня.

Оплаченый заказ был почти два с половиной месяца назад, опять же по правилам eserver, заказать выплату можно с 25 по 5 число, и в течении 7 дней, ее якобы должны выплатить.

Заказываю выплату уже третий раз.

Первый раз – полная тишина и только тупое сообщение в ответ: «спасибо, наш оператор свяжется с вами в течении семи дней!».
Прошло не 7 а 30 дней, а тишина – тише некуда.

Второй раз – жду 7 дней, опять тишина, пишу через тикет,  два письма с просьбой объяснить почему нету выплат.
Молчат как партизаны. Еще через несколько дней, пишу на все e-mail адреса, которые смог найти на сайте, через пару дней пришел один единственный ответ: «Выплаты будут на этой неделе».

Проша неделя, все как всегда. Пишу еще раз, но уже с упоминанием имени и фамилии владельца eserver (как я понимаю это Максим Азаров) и обращением конкретно к нему.

Ответ пришел почти моментально: «Человек занимающийся партнерской программой,
серьезно болен и сейчас лежит в больнице, выплаты будут в ближайшее время».

Ха..  фраза напоминающая мой подростковый период, в школе частенько прибегал к такому типу отмазки, после затяжных прогулов.

Третий месяц и третья заявка на выплату.
Сообщение на сайте после нажатия кнопки – заказать выплату:

Внимание:
Вы не можете сейчас подавать заявку на оплату. Согласно правилам участия, соотношение
кликов и заказов на Вашем счете должно быть не менее 1:200, то есть на 200 кликов
должен быть один оплаченный заказ. Другими словами, 0.5% от привлеченных посетителей
должны заинтересоваться нашими услугами.
К сожалению, сейчас это условие не соблюдается. Однако это не значит, что Вы не можете забрать заработанные деньги. Вам стоит немного подождать. Клиенты редко заказывают хостинг сразу, так как им нужно время подумать. Советуем попробовать еще раз подать заявку через 7-10 дней.Количество кликов: 213
Оплаченных заказов: 1Это, что значит тянули резину, дождавшись 13 кликов сверх лимита.
Написал в техподдержку, ответа не дождался, да и чего тут ждать…Хотелось бы услышать мнение тех кто работал в данной партнерке, или мнение самих администраторов данного хостинга, в том числе и Максима Азарова, а еще предупредить тех, кто только собирается работать с ними, и не обязательно как партнер, а даже как пользователь этого хостинга (не дай Бог!), ведь если они так работают с людьми, которые приводят им заинтересованных клиентов, как же они работаю с самими клиентами???Конечно же плохо.. очень даже плохо..И причину этого очень сложно понять.

Почему такая крупная компания, раскрутившись за счет своей партнерской программы, приобрев кучу клиентов, многие из которых, проплатили за год наперед, незная, что делать теперь, и не имея возможности вернуть заплаченные деньги, становится мошеннической?

Вообщем по всем характеристикам и добытой мной информации это – самый худший и наглый хостинг на сегодняшний день!

Будьте внимательны, а когда выбираете хостинг для своего сайта, ни в коем случае не платите наперед!!!

Поверьте, это окупится вам с лихвой!

P.S. Если у кого-то есть какие-то претензии по поводу данного поста, можете писать прямо здесь. Скрины из моего партнерского аккаунта и лог переписки с администрацией (очень бедненький такой лог, но много о чем говорящий) сохранен.

Обычный посетитель блога не можете видеть
результаты их работы. потому что комментарии
появляются не сразу после добавления, а только
после одобрения мной, т.е. администратором.

Для справки:

Рассылкой сообщений по блогам, чаще всего продвигают
англоязычные дорвеи (реальная статистика), но и
владельцы белых сайтов не редко также пытаются
повторить этот подвиг. По моему, на большинстве
нормальных блогов комментарии добавляются только
после проверки администратором, а там где они
не проверяются, стоит запрет на индексацию ссылок.

Так что неуважаемые господа спамеры, прошу удалить
мой блог из ваших баз и облегчить жизнь мне и
сэкономить время себе…

Лучше свое время вложите в зарабатывание денег,
а как заработаете, потратьте на нормальную рекламу.
Например здесь:

http://promosoft.int.ru/reklama/

Иосиф Звенигородский
jfhgydkc111md2076@yandex.ru
Доброе время суток!
Это реальное предложение!
Прочтите вложенный файл.
FPIIULRTWVXYBTMTQVOEDVNHWLZJVCROWTZEIE

Антивирус конечно же, определил это
как опасное вложение и с моего согласия
удалил. Это был вложенный файл с расширением .doc
E-Mail на который пришло письмо, светился
только на одном сайте и был закодирован.
Свежий, подающий через систему RUpay мини-сайт
был запущен совершенно недавно и траффик
на него шел исключительно с Яндекса и с
еженедельной рассылки (около 2000 подписчиков
(реально подписавшихся!) по компьютерной тематике).

Что хотел автор письма называющий себя
Иосиф Звенигородский, непонятно, а самое
главное – если это обычный спамер, массово
рассылающий письма по большим базам данных,
как адрес попал к нему, кроме, как не сохраненный
в ручную? И зачем в теме сообщения столько
символов? Может ли это вызвать исполнение какого нибудь кода и являтся ли опасным?

Достали.. какой-то прыщ, возможно в жизни не выходивший из свого дома, скачав последнюю версию XSpider и считая теперь себя самым крутым хакером
в этом мире, сканит мой комп в поисках уязвимостей, находит назапатченный RPC DCOM, заливает трояна и за считанные минуты получает полный доступ ко всем
файлам и папкам моего компьютера!

После этого я обзавелся новой версией антивируса и файервола, и честно сказать меня удивляет количество уродов пытающихся залезть в мою
систему! Возможно я удивляюсь зря и это у всех так?

О сером заработке: http://rubiznes.info/nelzya.shtml

Антивирус Avast: http://avast.com

Outpost Firewall говорят,
что лучшая защита от хакеров итроянов! http://www.agnitum.ru