Ваш сайт взломал Hacked by Badi (+ADw)? Решение есть!

Ваш сайт взломал Hacked by Badi (+ADw)? Решение есть!

На днях ко мне обратились мои клиенты и сообщили о том, что их сайт странно отображается и на почту пришло письмо от хостера, в котором он сообщает о взломе их сайта.
Я сразу зашел на сайт клиента и увидел, что полетела кодировка, появились кракозябрики, сменился заголовок сайта на это:
+ADw-/title+AD4-hacked by hacker+ADw-DIV style+AD0AIg-DISPLAY: none+ACIAPgA8-xmp+AD4-

Слетели виджеты и сменился пароль на админку.
Сам контент и стили были в норме.
Эта картина подтвердила информацию о взломе сайта…

Итак, мы имеем дело с кулхацкером hacked by Badi, который поламал кучу сайтов. Эта эпидемия продолжается уже где-то больше 2-х недель.

Закономерность одна: взломаны сайты работающие на wordpress разных версий (3.4, 3.5, и даже 3.5.1). В плане хостинга закономерности нет — хостинги и страны разные. Защита на сайтах тоже разная. Я думаю, что хакер нашел уязвимость в самом движке. Ведь он каким-то образом вносит свои изменения в базу данных и при этом не трогает файлы.

Симптомы

Что делает наш кулхацкер?

1) меняет заголовок сайта
2) меняет заголовки в ссылках rss
3) меняет кодировку UTF-8 на UTF-7
4) удаляет ваши виджеты
5) добавляет свой виджет с кодом внутри:

6)меняет пароль на админку

Лечение

Есть самый быстрый и простой способ восстановить сайт — это восстановить базу данных из резервной копии. Таким образом мы затираем все изменения сделанные хакером.

Или в ручную:

Восстанавливаем кодировку и пароль на админку
Заходим в Phpmyadmin.
а)Кодировка
В таблице wp_options (по умолчанию используется префикс wp_, но у вас может быть другой) нужно изменить параметр blog_charset. Сохраняем.
б) Пароль на админку
В таблице wp_users находим пользователя admin. Редактируем поле user_pass (в колонке Функция выбираем md5, а в колонке Значение пишем новый пароль). Сохраняем.

Восстанавливаем заголовки и виджеты
а) Заголовок
Заходим в Параметры — Общие. Меняем название сайта.
б) Виджеты
Заходим в Внешний вид — Виджеты
Удаляем текстовый виджет хакера и восстанавливаем свои виджеты.

Профилактика

  • Проверьте свой компьютер на вирусы и трояны.
  • Поменяйте пароли в админку сайта, в панель управления хостингом, на базу данных и фтп.
  • Проверьте сайт на вирусы.
  • Установите плагины защиты (например Better WP Security, Block Bad Queries)
  • Обновите версию WordPress
  • Обновите плагины
  • Обновите вашу тему WordPress
  • Обновите секретные ключи в файле wp-config.php.
  • Делайте регулярно резервные копии сайта и базы данных.
  • Не сохраняйте пароли в браузере и ftp-клиенте.

Столкнулись с похожими проблемами? Не знаете как их решить? Нет времени чтобы копаться и разбираться во всем этом? Обратитесь к специалисту!

Рейтинг 0/5 (0 голосов)
 

6
Добавить комментарий

avatar
4 Цепочка комментария
2 Ответы по цепочке
0 Последователи
 
Популярнейший комментарий
Цепочка актуального комментария
4 Авторы комментариев
Dizer7SergredmonkeyИван Авторы недавних комментариев
Иван
Гость

Вроде все исправил. Но не помогло. При клике по ссылкам вылетает «not found». На сайте korporativ.kh.ua хоть меняй пароль админки в mysql, хоть не меняй, зайти не могу. 🙁

redmonkey
Гость
redmonkey

у меня похожая проблема, все ссылки стали битыми, перезадал параметры ссылок, поставил стандартный .htaccess не помогает, можете что-нибудь посоветовать ?

Serg
Гость
Serg

У тебя слетел какой-то плаг (Special Text Boxes наверное) — шорткоды показаны в постах.

А чем\как у тебя сделаны антиспам и перепросмотр?