X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> Проблема с вредоносными iframe и скриптами: загадочное ручное добавление
nsander
nsander
Topic Starter сообщение 26.9.2011, 10:27; Ответить: nsander
Сообщение #1


Добрый день.

Проблема следующего рода: есть сайт на Wordpress, достаточно посещаемый. На сайте стоит стандартный набор плагинов + кэш от Maxsite. Более года все работало без проблем, а две недели назад пользователи начали жаловаться на вирусы. Я проверил исходный код: оказалось в верхних постах через iframe был внедрен вирусный код.

Код я удалил, произвел профилактику: проверил файлы на зашифрованные и не зашифрованные строчки, сменил пароли, на вирусы проверился. Но через пару дней код появился снова, и снова в новых верхних постах.

Если судить по ревизиям записи, получается, что код был добавлен мной же на момент публикации записи (условно говоря 24 сентября), хотя реально в посте код появляется 25 или 26 сентября. Заразе подвержены только верхние 1-2 поста на главной странице, так что скорее всего, код добавляется вручную.

Код бывает следующего вида:

<script src="бяка.hut2.ru/core.js"></script>
<iframe src="бяка"></iframe>

Теперь самое интересное: на этом же хостинге на ФТП находится еще несколько моих сайтов, так что если бы был взлом паролей, их тоже должны были заразить. Но этого не происходит. Уже две недели с промежутком 1-2 дня в постах появляется вредоносный код и я его удаляю. Перепробовано все, что только можно.

Неоднократно полностью удалялся движок / плагины, заливались заново. Пароли менялись несколько раз. Не помогает. Грешу только на кэш, так как скрипты и айфреймы с такими же УРЛ я в гугле еще нашел на darievna.ru и там тоже такой же кэш стоит. Но это как-то мало вероятно, потому что случай единичный.

Прошу помощи, быть может кто-то сталкивался с данной проблемой "ручного добавления" вредоносного кода.
1
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
kronos
kronos
сообщение 26.9.2011, 10:36; Ответить: kronos
Сообщение #2


Это волна взломов.
(nsander @ 26.9.2011, 9:27) *
Теперь самое интересное: на этом же хостинге на ФТП находится еще несколько моих сайтов, так что если бы был взлом паролей, их тоже должны были заразить.

Не факт, часто берут самый посещаемый, например.

Ищите дырку. Шел может быть на другом сайте хостинга.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Serenita
Serenita
сообщение 26.9.2011, 10:38; Ответить: Serenita
Сообщение #3


Обычно WP через плагины ломают. Например, серьезная уязвимость с thumbs.php или timthumb.php для ресайза изображений...и вот список посмотрите, может, увидите знакомые названия плагинов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
nsander
nsander
Topic Starter сообщение 26.9.2011, 20:09; Ответить: nsander
Сообщение #4


(kronos @ 26.9.2011, 9:36) *
Ищите дырку. Шел может быть на другом сайте хостинга.


Спасибо гляну. Но те сайты вообще тухлые и не менялись, пожалуй, месяцев 10.

Serenita, посмотрел список, который вы привели, таких плагинов у меня не стоит. Вот что есть:

akismet
all-in-one-seo-pack
datafeedr-ads
maintenance-mode
nextgen-gallery
simple-tags
subscribe-to-comments
threewp-login-tracker - поставил сегодня отследить логины
watermark-reloaded
widget-logic
wordpress-importer
wp-noexternallinks
wp-pagenavi
wp-polls

Был произведен полный снос движков всех сайтов на хостинге с повторной заливкой. Все пароли были снова изменены, но скрипт все равно появился. Есть еще какие-нибудь идеи, господа?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
algaretio
algaretio
сообщение 10.11.2011, 22:40; Ответить: algaretio
Сообщение #5


Заметил подобную гадость на одном из своих проектов, ТС, вам как-то удалось решить проблему?


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Adwokat
Adwokat
сообщение 10.11.2011, 22:47; Ответить: Adwokat
Сообщение #6


каким ФТП клиентом пользуетесь? Пароли сохранены в нём ,или вводите каждый раз?
и с чего Вы взяли что добавление ручное ?

Сообщение отредактировал Adwokat - 10.11.2011, 22:56
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
algaretio
algaretio
сообщение 10.11.2011, 23:03; Ответить: algaretio
Сообщение #7


Да нет, там не ручное, там именно скрипт, так как у меня появилась подобная фигня во всех записях, сразу вначале поста. Погуглил, в поисках "концов" и нашел еще блоги, пораженные подобной фигней ph34r.gif так что, господа, проверяйте блоги, похоже носит массовый характер. Пока оно себя никак не проявляет, но...


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Adwokat
Adwokat
сообщение 10.11.2011, 23:12; Ответить: Adwokat
Сообщение #8


простой снос пролей не поможет..

хер..т только Ваши индексы сайта , верно ?
Шел сидит у Вас в компах , поэтому :

меняете пароли и убираете сохраненные пороли в фтп клиенте.
заходите только при каждом вводе пароля..пока не почистите комп..
Заражены будут все сайты у которых имеются сохранные пороли , даже если они и были сменены..

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыРучное размещение вечных ссылок и статей на хороших площадках
Опыт 10 лет!
419 leonidukg 273842 12.3.2024, 15:17
автор: leonidukg
Горячая тема (нет новых ответов) Статейные ссылки. Ручное размещение. Средний тИЦ - 500+
113 creatos 47685 11.3.2024, 18:21
автор: xVOVAx
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыРучное размещение объявлений и компаний по популярным доскам и каталогам организаций России, Украины, Беларуси и Казахстана
37 freeax 27826 6.3.2024, 20:57
автор: freeax
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыИКС от 100 до 10000 Ручное размещение по отборным площадкам
профили, блоги, посты.
98 freeax 76884 4.12.2023, 20:26
автор: veatone
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыКрауд-маркетинг. Ручное размещение ссылок под бурж с гарантией
23 seolink.orders 12552 22.11.2023, 14:48
автор: seolink.orders


 



RSS Текстовая версия Сейчас: 29.3.2024, 12:54
Дизайн