Меня тут недавно попросили выкурить одного злобного хацкера,который орудует на сайте уже несколько недель. Сайтов на хостинге всего 2, один на WP, второй на October CMS (я его просканил, дырок не нашел). Полез смотреть логи, нашел кучу интересных запросов. Какой-то тип сидящий с левых IP, постоянно ломится на админ панель WP, и по всей видимости успешно. WordPress обновленный, свежайшая версия.. Пораскинув мозгами, я решил дать права только на чтение на все директории, кроме upload'овых. Но ведь эти права легко вернуть обратно, поэтому я вырубил поддержку внешних команд. Потом решил так-же в disable functions добавить unlink (удаление файлов), т.е загрузить сможет, а вот удалить нет. Disable-Functions у меня получился таким: На следующий день захожу посмотреть как там дела, и вижу полные права в корневой каталог, а в нем 3 пустых файла: temp-write-file, видимо удалить эти файлы не смогли. Полез смотреть логи, вижу что опять зашли в этот несчастный WP и залились через wp-cron.php. Только вот как они сменили права на папку, так я и не вьехал. Может есть альтернативная команда в PHP которой можно поменять права? P.S "Да не тупи, поменяй пассворд на WP и все будет пучком" -- это не вариат(
Права 777 только на папки upload и тп. В них файл .htaccess для запрета исполнения php и тп. Посмотрите нет ли удаленного подключения к MySQL. Не запрятан ли бекдор? Да, а не залились ли к вам через соседей?(рутнули хостера)
IP сменил, жду резултатов Ну а вот по поводу рута не уверен, файлы то удалить не получилось, значит действовал средствами PHP. Обычно этот тип как что-то сделал, все удалял, никаких следов, а здесь файлы оставил. Где то в недрах есть альтернатива chmod.. Например, вот если взять файловый менеджер от хостера, если нету прав, а ты туда чего-то хочешь загрузить он их подтягивает до 0750.
как вариант бага может быть в плагинах wp, банальный брут. Доп. авторизацию поставьте еще на странице авторизации админа.