Как вычистить сайт от доров? - Форум успешных вебмастеров

disqus · 20.07.2017, 16:25

на одном из пбнов появились доры по виагре. формат domain.com/viagra.pdf
обновил WP до 4.8 , обновил все плагины, просмотрел возможные для инклуда фаилы ручками, просканировал mallware сканерами. пусто
как можно вычистить доры, кроме бэкапа?

digg · 20.07.2017, 22:15

а трафа много на этих дорах?

precautions · 21.07.2017, 00:00

Цитата:

Сообщение от disqus

на одном из пбнов появились доры по виагре. формат domain.com/viagra.pdf

Если файла viagra.pdf в корне нет, то смотри что инклудится в index.php. Проверь в .htaccess что там есть строка DirectoryIndex index.php или она вообще отсутствует - тогда по умолчанию запускается index.php.

Дор или в самом index.php или в модуле, который в него инклудится (для WP это по сути - в любом файле).

PS: Пока ищешь - сделай костыль в .htaccess или в "корневом" index.php, чтобы сайт при запросе домен/*.pdf отдавал 404 Not Found. А для твоего IP - сделай исключение чтобы видеть этот дорвей. Как сделать такое исключение на .htaccess не подскажу, а на php делается легко.

disqus · 21.07.2017, 09:43

Цитата:

Сообщение от digg

а трафа много на этих дорах?

не, чуется автозалив. доры гавно, проспам гостевой, пробиваются только через site:

Цитата:

Сообщение от precautions

(для WP это по сути - в любом файле)

PS: Пока ищешь - сделай костыль в .htaccess или в "корневом" index.php, чтобы сайт при запросе домен/*.pdf отдавал 404 Not Found. А для твоего IP - сделай исключение чтобы видеть этот дорвей. Как сделать такое исключение на .htaccess не подскажу, а на php делается легко.

вот именно что любой ) я наивно расчитывал, что апгрейд скинет это гавно ) но я ошибался.

Cisco · 21.07.2017, 12:13

disqus, лучше все снеси поставь заново и перенеси тока посты. Иначе убьешь кучу времени а закладка может оказаться в любом файле.

disqus · 21.07.2017, 12:28

Цитата:

Сообщение от Cisco

disqus, лучше все снеси поставь заново и перенеси тока посты. Иначе убьешь кучу времени а закладка может оказаться в любом файле.

так и планировал, но как это скажется, если заного перезалью старые посты? типо всё в один день. и настройки все заного переписывать

digg · 21.07.2017, 13:59

ну, блять, выход только один - ебаться руками
скрипт, который чистить будет, писать дольше выйдет

Cisco · 21.07.2017, 15:37

disqus, главное урлы сохрани и будет все норм даже если шаблон поменяешь - гугл любит когда что то обновляют ) Это же сателит а не основной сайт.

precautions · 21.07.2017, 16:55

Цитата:

Сообщение от Cisco

так и планировал, но как это скажется, если заного перезалью старые посты? типо всё в один день. и настройки все заного переписывать

Так ты старый сайт не трогай, только заблокируй работу дора на нём, чтобы ПС выкинули эту чешую из индекса.

А новый сайт подними на технологическом хостинге, а после отладки перенесёшь на место.

PS: Заодно и проверишь: если после блокировки дор появится снова (например, под другим расширением) - значит дыра/закладка всё ещё есть, или сломали через хостинг.

PPS: Кстати, проверь файлы на свежую дату модификации, многие хакеры после взлома ленятся менять её "как было".

precautions · 21.07.2017, 17:22

В index.php на самый верх вставь:

PHP код:


			
if (preg_match('#^/[a-z0-9_\-]+\.pdf#i', $_SERVER['REQUEST_URI'])) {
  header("HTTP/1.1 404 Not Found");
  die('Page not found');
  }

Сайт будет отдавать 404 Not Found на все запросы к "/-_ и любые цифры и латинские буквы.pdf" от корня сайта.

А если дор продолжит работать - значит они в .htaccess(который лежит в корне сайта) сделали перенаправление. На какой модуль в .htaccess перенаправляют - там и дор сидит.