X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Проблема с вредоносными iframe и скриптами: загадочное ручное добавление
nsander
nsander
Topic Starter сообщение 26.9.2011, 10:27; Ответить: nsander
Сообщение #1


Частый гость
**

Группа: User
Сообщений: 62
Регистрация: 24.9.2009
Поблагодарили: 6 раз
Репутация:   0  


Добрый день.

Проблема следующего рода: есть сайт на Wordpress, достаточно посещаемый. На сайте стоит стандартный набор плагинов + кэш от Maxsite. Более года все работало без проблем, а две недели назад пользователи начали жаловаться на вирусы. Я проверил исходный код: оказалось в верхних постах через iframe был внедрен вирусный код.

Код я удалил, произвел профилактику: проверил файлы на зашифрованные и не зашифрованные строчки, сменил пароли, на вирусы проверился. Но через пару дней код появился снова, и снова в новых верхних постах.

Если судить по ревизиям записи, получается, что код был добавлен мной же на момент публикации записи (условно говоря 24 сентября), хотя реально в посте код появляется 25 или 26 сентября. Заразе подвержены только верхние 1-2 поста на главной странице, так что скорее всего, код добавляется вручную.

Код бывает следующего вида:

<script src="бяка.hut2.ru/core.js"></script>
<iframe src="бяка"></iframe>

Теперь самое интересное: на этом же хостинге на ФТП находится еще несколько моих сайтов, так что если бы был взлом паролей, их тоже должны были заразить. Но этого не происходит. Уже две недели с промежутком 1-2 дня в постах появляется вредоносный код и я его удаляю. Перепробовано все, что только можно.

Неоднократно полностью удалялся движок / плагины, заливались заново. Пароли менялись несколько раз. Не помогает. Грешу только на кэш, так как скрипты и айфреймы с такими же УРЛ я в гугле еще нашел на darievna.ru и там тоже такой же кэш стоит. Но это как-то мало вероятно, потому что случай единичный.

Прошу помощи, быть может кто-то сталкивался с данной проблемой "ручного добавления" вредоносного кода.
1
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kronos
kronos
сообщение 26.9.2011, 10:36; Ответить: kronos
Сообщение #2


Белый веб-мастер
*******


Группа: Active User
Сообщений: 4703
Регистрация: 10.2.2009
Из: Харьков
Поблагодарили: 2629 раз
Репутация:   327  


Это волна взломов.
(nsander @ 26.9.2011, 9:27) *
Теперь самое интересное: на этом же хостинге на ФТП находится еще несколько моих сайтов, так что если бы был взлом паролей, их тоже должны были заразить.

Не факт, часто берут самый посещаемый, например.

Ищите дырку. Шел может быть на другом сайте хостинга.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Serenita
Serenita
сообщение 26.9.2011, 10:38; Ответить: Serenita
Сообщение #3


Старожил
******


Группа: Active User
Сообщений: 1658
Регистрация: 20.7.2010
Из: Киев
Поблагодарили: 1822 раза
Репутация:   230  


Обычно WP через плагины ломают. Например, серьезная уязвимость с thumbs.php или timthumb.php для ресайза изображений...и вот список посмотрите, может, увидите знакомые названия плагинов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
nsander
nsander
Topic Starter сообщение 26.9.2011, 20:09; Ответить: nsander
Сообщение #4


Частый гость
**

Группа: User
Сообщений: 62
Регистрация: 24.9.2009
Поблагодарили: 6 раз
Репутация:   0  


(kronos @ 26.9.2011, 9:36) *
Ищите дырку. Шел может быть на другом сайте хостинга.


Спасибо гляну. Но те сайты вообще тухлые и не менялись, пожалуй, месяцев 10.

Serenita, посмотрел список, который вы привели, таких плагинов у меня не стоит. Вот что есть:

akismet
all-in-one-seo-pack
datafeedr-ads
maintenance-mode
nextgen-gallery
simple-tags
subscribe-to-comments
threewp-login-tracker - поставил сегодня отследить логины
watermark-reloaded
widget-logic
wordpress-importer
wp-noexternallinks
wp-pagenavi
wp-polls

Был произведен полный снос движков всех сайтов на хостинге с повторной заливкой. Все пароли были снова изменены, но скрипт все равно появился. Есть еще какие-нибудь идеи, господа?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
algaretio
algaretio
сообщение 10.11.2011, 22:40; Ответить: algaretio
Сообщение #5


Завсегдатай
*****

Группа: Active User
Сообщений: 681
Регистрация: 10.3.2008
Поблагодарили: 71 раз
Репутация:   17  


Заметил подобную гадость на одном из своих проектов, ТС, вам как-то удалось решить проблему?


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Adwokat
Adwokat
сообщение 10.11.2011, 22:47; Ответить: Adwokat
Сообщение #6


Новичок
*

Группа: User
Сообщений: 21
Регистрация: 22.5.2011
Поблагодарили: 3 раза
Репутация:   -2  


каким ФТП клиентом пользуетесь? Пароли сохранены в нём ,или вводите каждый раз?
и с чего Вы взяли что добавление ручное ?

Сообщение отредактировал Adwokat - 10.11.2011, 22:56
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
algaretio
algaretio
сообщение 10.11.2011, 23:03; Ответить: algaretio
Сообщение #7


Завсегдатай
*****

Группа: Active User
Сообщений: 681
Регистрация: 10.3.2008
Поблагодарили: 71 раз
Репутация:   17  


Да нет, там не ручное, там именно скрипт, так как у меня появилась подобная фигня во всех записях, сразу вначале поста. Погуглил, в поисках "концов" и нашел еще блоги, пораженные подобной фигней ph34r.gif так что, господа, проверяйте блоги, похоже носит массовый характер. Пока оно себя никак не проявляет, но...


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Adwokat
Adwokat
сообщение 10.11.2011, 23:12; Ответить: Adwokat
Сообщение #8


Новичок
*

Группа: User
Сообщений: 21
Регистрация: 22.5.2011
Поблагодарили: 3 раза
Репутация:   -2  


простой снос пролей не поможет..

хер..т только Ваши индексы сайта , верно ?
Шел сидит у Вас в компах , поэтому :

меняете пароли и убираете сохраненные пороли в фтп клиенте.
заходите только при каждом вводе пароля..пока не почистите комп..
Заражены будут все сайты у которых имеются сохранные пороли , даже если они и были сменены..
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) Ручное размещение постовых и контекстных вечных ссылок/заметок/статей
новостной сайт (СМИ), ТИЦ=550, PR=4, в Яндекс.Новостях (быстроробот)
163 inkon 48326 Вчера, 20:16
автор: inkon
Открытая тема (нет новых ответов) Статейные ссылки. Ручное размещение. Средний тИЦ - 300
15 DizzeeR 1575 Вчера, 13:15
автор: Gelik
Горячая тема (нет новых ответов) Ручное размещение вечных ссылок и статей на хороших площадках
Опыт 8 лет!
194 leonidukg 77265 Вчера, 8:00
автор: alekspik
Открытая тема (нет новых ответов) Ручное размещение статей в 150 ru-блогах
6 dimapwt 1663 14.12.2017, 13:32
автор: dimapwt
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыВысокий траст, низкий СПАМ, отличные ссылки! Ручное размещение на трастовых сайтах!
29 Aquarius 5545 6.12.2017, 20:04
автор: Aquarius


 



RSS Текстовая версия Сейчас: 16.12.2017, 7:34
Дизайн