IE8 вылетает, открывая WordPress с установленной Gantry Framework

Question

У меня возникла проблема, которая сводит меня с толку: я создал блог Wordpress, используя фреймворк Gantry для разметки и несколько различных виджетов и плагинов. В FF, Safari и Chrome все работает нормально, но при попытке открыть сайт с помощью IE 8 происходит сбой браузера или, в лучшем случае, я получаю сообщение о том, что вкладка закрыта и вновь открыта из-за ошибки; после чего сайт загружается нормально. Я пытаюсь выяснить, что происходит во время открытия страницы, но панель отладки IE не указывает на какую-либо ошибку! Кто-нибудь знает, в чем может быть проблема?

Сайт: http://www.danielevecchiotti.it/

Answer 1

Я сегодня перенес такую ​​же атаку, поэтому немного исследовал:

Эта инъекция осуществляется через отверстие в одном из плагинов, скорее всего, через устаревший плагин contact-form-7. Проверьте, есть ли у вас эта папка в каталоге wp-content / plugins - даже если она не активирована в Wordpress, само ее наличие представляет потенциальную угрозу безопасности, поскольку злоумышленник может использовать прямой URL-адрес файла с ошибками плагина для доступа это.

(источник: http://wewatchyourwebsite.com/wordpress/2011/11/wordpress-websites-infected-through-outdated-contact-form-7-plugin)

Исправление дыры: если вы используете этот плагин, обновите его до последней версии, которая не уязвима. Если вы не используете его и просто отключаете (как я), вы можете удалить его вообще.

Это также хорошая идея, чтобы запретить людям доступ к вашим плагинам напрямую. Вы можете создать wp-content / plugins / .htaccess со следующим содержимым:

<Files *.php>
  deny from all
</Files>

Это может не работать с каждой конфигурацией, но обычно плагины доступны только в коде, а не с помощью HTTP-вызовов, поэтому они не должны наносить вред посетителям.

Восстановление вашего сайта: Если у вас нет резервной копии ваших * .php-файлов, чтобы восстановить их все путем перезаписи текущих, вам нужно найти каждый файл, содержащий строку, относящуюся к вредоносный код, например "Eva1fYlbakBcVSir". Затем вам нужно отредактировать все эти файлы - для каждого файла удалите длинную строку из его конца.

Или, если вы хорошо владеете командной строкой и, скажем, perl, вы можете создать регулярное выражение, чтобы выполнить эту работу за вас.

Какова была цель атаки? Очевидно, что эти фрагменты кода добавляли ссылки на некоторые плагины Java на страницы вашего сайта. Предполагается, что добавленный плагин будет следующим: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aJava%2fCVE-2010-0840.KM&threatid=2147649278

Однако мне еще не удалось полностью расшифровать введенный код - он очень хорошо запутан, а обратный инжиниринг труден. Поэтому я не могу с уверенностью сказать, что кроме показа этого Java-плагина посетителям эксплойт не делал ничего, кроме чтения паролей пользователей или удаления некоторых файлов (маловероятно, но возможно).

Я также не могу найти никакой информации об этом, похоже, никто еще не полностью отследил последствия.

Пожалуйста, поделитесь, если знаете больше.

Answer 2

Я наконец-то нашел проблему: сайт был взломан!

Я заметил, что файлы index.php и wp-blog-header.php были изменены со странной датой и временем.Скачивая два файла, я обнаружил, что они были скомпрометированы: был добавлен целый раздел нечитаемого кода.При загрузке исходных файлов PHP вышеуказанная проблема была решена.