Свинья на Блогге
За каким-то делом пошел смотреть тему сайта, который давно не обновлялся (Blogga.Ru). Смотрю, а в файлике header.php в самом начале, даже перед тегом html, какая-то свинья порылась. Подложили мне туда кусок левого кода, начинающегося со слов function _879214760.
Полный код не влез, смотрите тут пример :
Как залезли - непонятно. Ничего больше не изменилось, вирусы не детектировались, антивирусы на сайт не ругались.
Особый цимес в том, что по словам других пострадавших, функция эта проявляет себя только при переходе с поисковика. Если просто набрать адрес сайта - ничего не происходило. Вот такая вот двойная свинота!
Люди пишут, что у них это происходило под самой последней версией WordPress. У меня - версия далеко не самая последняя. Что я лично сделал: вычистил код, а потом поставил права 755 на все файлы темы (было 777 - так из админки было можно редактировать).
Подозреваю, что уязвимость - в самом WordPress. Ничего внятного по теме не вижу. Но на всякий случай - пройдитесь по WP-сайтам, проверьте header.php на function _879214760. Особенно те, у кого появились траблы с поисковиком в последнее время. Блогга, тьфу-тьфу, вроде не успела.
PS: судя по падению статистики переходов с Гугля и Яндекса на Блогге, код внедрился у меня в декабре 2009 - январе 2010.