Форум

запускал в режиме поиска и далее правил руками, т.к. где-то "unserialize" собирается и передается далее в виде текстовой строки и не было уверенности, что на автомате корректно исправит код с одинарными и двойными кавычками.

вышла новая версия патча:
дополнительно удаляет (в т.ч. из служебных папок):'/ajax/error_log_logic.php',
'/ajax/js_error.php',
'/ajax/js_error.txt'

и "лечит" /form/index.php и /ajax/form.php
способом 'TABLES_SIZE' && false

посмотрел, что исправляет новый патч от Аспро, получается, что дыру в /ajax/form.php они уже давно закрыли,
в моем случае они за дыру не считают и && false не добавляют,
у них в скрипте идет доп. проверка на присутствие в файле кода:и если код присутствует, то они считают, что /ajax/form.php не дырявый и исправлять его не надо.
Но когда-то давно дыра в файле судя по всему была, раз ее исправляют.

Итого по последним уязвимостям, как понять была дыра и могли сломать (если могли сломать, то скорее-всего сломали):
1. если есть файл /form/index.php — то дыра есть практически наверняка
2. если в файле /ajax/form.php нет кода file_exists($url_sizes) и есть код $form_id === 'TABLES_SIZE' — то дыра есть практически наверняка

И по файлу /ajax/js_error.txt — его присутствие означает, что была попытка взлома, но скорее-всего она была неудачная, т.к. при наличии дыры данный файл должен был бы удаляться после загрузки на сервер вредоносного файла.
Сам файл js_error.txt — это лог ошибок и не является взломом сайта, а только успешная и опасная подготовка к дальнейшему взлому, если на сайте не закрыта дыра.

В любом случае при наличии этого файла:
1) удаляем файл /ajax/error_log_logic.php — именно через него создавался js_error.txt и по мнению Аспро он больше не нужен и его можно удалить
2) удаляем файл /ajax/js_error.txt
3) проверяем наличие дыры (см. выше), если дыры нет — скорее-всего сайт не взломали
4) обязательно смотрим лог!!!

)
мы обработчик написали на OnPageStart
и если запрос к "неправильным" страницам (/form/index.php, /ajax/error_log_logic.php, /js_error.txt и т.п.)
или запрос к любой странице содержащей в адресе *ajax* с параметрами file_get_contents, file_put_contents, base64_decode,
то сразу стоп и IP-адрес в стоп-лист на долгое время.

За два дня две попытки было искать дыру — сразу в бан ушли.

Заодно туда прописали запрет на страницы /wp-admin/ и т.п.
Только сегодня уже более двадцати раз блокировка срабатала на искателей дыр от WordPress.

В своих логах видел, что запрос к этой странице поступает и от обычных юзеров иногда.