Помощник
|
Вредоносный код в wordpress - Mal/JSIfrLd-A, Помогите отловить |
koninana
|
Сообщение
#12
|
|
Ищите в файлах вот такой код: base64_decode( Троян зашифрован. Скорее всего сидит в теме. Такой код нашелся в wp-app.php (в корне) class-simplepie.php (wp-includes) class-IXR.php (wp-includes) Но не вижу там ничего криминального, хотя я не шарю В первом авторизация какая-то. В других непонятно, просто этот код в переменной и все... Выручайте ребята, три ВП блога моих уже с этим вирём ЯВ пишет что сайты заражены (wordpress), плагины типа Antuvirus и TAC их не видят. Пробовал проверять онлайн антивирусами результата ноль. Нашел единственный сайт где можно проверить сайт и он действительно подтверждает заражение сайта http://sitecheck.sucuri.net/scanner/ Спасибо за ссылку, искал вчера подобыне сервисы! Он нашел: Suspicious domain detected. Details: http://sucuri.net/malware/malware-entry-mwblacklisted35 '<img src="http://d3.cc.b0.a2.top.mail.ru/counter?id=2147124;t=84;js='+js+ как раз воевал с подобной дрянью не так давно, отличительная особенность в корне сайта появляется папка ".cache". ТС, если таковая есть (будет скрыта) то проблема точно в wp-includes, самое хорошее решение будет заменить все файлы из этой папки на оригинальные, т.к. данная тварь прописывает свой код в рандомный файл. Но только файлы должны быть именно от текущей версии ВП, иначе может что то поломаться. И самое главное меняйте ФТП аккаунты, доказать не могу, но прям уверен что взлом происходил именно из за увода ФТП акка. p.s. проблема скорее всего не в теме К сожалению или к счастью, такой папки нет у меня... Сообщение отредактировал koninana - 14.2.2012, 16:27 |
|
|
elche |
14.2.2012, 16:30;
Ответить: elche
Сообщение
#13
|
|
base64_decode( тогда уж eval ищите К сожалению или к счастью, такой папки нет у меня... А вы уверены? Я специально написал что скрыта будет. Проверьте настройки своего фтп менеджера – отображать скрытые папки -------------------- |
|
|
koninana
|
Сообщение
#14
|
|
тогда уж eval ищите А вы уверены? Я специально написал что скрыта будет. Проверьте настройки своего фтп менеджера – отображать скрытые папки Да, смотрел черех файл менеджер cpanel. Там точно скрытые видны поставил. Заменил папку wp-includes от дефолтного ВП - результата нет. По прежнему детектится вирусяка http://sitecheck.sucuri.net |
|
|
A1exT |
14.2.2012, 16:56;
Ответить: A1exT
Сообщение
#15
|
|
в коде страницы есть нечто подобное:
<iframe src="http://ххх.ххх/ххх?page=611f74d123f57c90" width="0" height="0" frameborder="0"></iframe> |
|
|
koninana
|
Сообщение
#16
|
|
|
|
|
A1exT |
14.2.2012, 17:03;
Ответить: A1exT
Сообщение
#17
|
|
оно бывает через скрипт или php, если лень искать - смени пароли и перезалей чистый вордпресс с нужными темами и плагинами. кстати, у тебя могут быть "лишние" файлы. если хочешь докопаться - копирни свой сайт в папку, и сравни файлы с чистым движком
|
|
|
Electric |
15.2.2012, 3:11;
Ответить: Electric
Сообщение
#18
|
|
Ищите тогда вот такое:
eval(base64_decode( eval( base64_decode( Полюбому где то есть... Если ничего не нейдете - пишите в АСЬку (в подписи линк на тему с услугами), будем смотреть что у вас там сидит... -------------------- |
|
|
Grek |
15.2.2012, 18:06;
Ответить: Grek
Сообщение
#19
|
|
Надеюсь, что сегодня моя борьба закончится, с этой пакостью.
Бытует мнение, что во всем виноват traffbiz. Более подробно о заразе, которая посетила нас: http://www.m86security.com/labs/traceitem.asp?article=1427 http://www.xakep.ru/post/58210/ В моем случае, на 1 хосте висело 3 блога на WP. Хакнут был только тот, на котором стоял traffbiz. Собственно через папку domains эта фигня прошлась по всем сайта. Навредила только WP. Что делает: либо использует каждого посетителя, как шлюз для спамного письма, либо создает директорию, в которой генерирует статичные страницы с анкорными ссылками. После очистки, места на хосте стало больше на 30-35Мб. Все, очистил всё. Сообщение отредактировал Grek - 15.2.2012, 18:13 |
|
|
gromhold |
15.2.2012, 18:27;
Ответить: gromhold
Сообщение
#20
|
|
аналогично, вчера яндекс нашел Mal/JSIfrLd-A
показывает сообщение в Я.вебмастере как бороться? вредоносных кодов не вижу, плагин BPS стоит. -------------------- |
|
|
Grek |
15.2.2012, 18:34;
Ответить: Grek
Сообщение
#21
|
|
Начинай лечение с файлов:
/public_html/wp-content/themes/название_темы/thumbopen.php /public_html/wp-content/themes/название_темы/thumb.php В них ищи document.write или shell. Потом три все файлы в папке /public_html/wp-content/themes/название_темы/temp Дальше все интуитивно понятно, но если что, то пиши. |
|
|
|
Похожие темы
Тема | Ответов | Автор | Просмотров | Последний ответ | |
---|---|---|---|---|---|
Продам базу сайтов Wordpress в 16 миллионов доменов! Свежая сборка. | 19 | Boymaster | 11438 | 20.4.2024, 0:01 автор: Boymaster |
|
Нужен кодер, чтобы пофиксить ошибку Wordpress после переноса сайта | 0 | Alex-777 | 962 | 7.4.2024, 18:05 автор: Alex-777 |
|
Перенос сайта на CMS Wordpress | 8 | freeax | 4986 | 10.3.2024, 14:58 автор: freeax |
|
Как настроить в WordPress для SEO оптимизации | 8 | rownong27 | 2488 | 2.3.2024, 12:59 автор: toplinks |
|
Восстановление сайтов из Вебархива на Wordpress. | 39 | freeax | 32804 | 14.2.2024, 14:32 автор: freeax |
Текстовая версия | Сейчас: 25.4.2024, 20:31 |