Прошу помощи в поиске уязвимости WP

[Bahus]

Доброго времени суток. Не так давно нашел в коде статей на блоге (cms wordpress) dendrblog.ru такую муть

<script src="//shareup.ru/social.js" type="text/javascript"></script>

Так же хостер обматерил меня за вирус на сайте. После проверки был найден PHP.BlacoleRef. Все вылечили. Левый скрипт вычищен из статей.
Прошла неделя. Вирусов больше не найдено, а скрипт снова во всех статьях. Откуда эта гнида лезет не пойму. Так же не понятно, что первично вирус, загружающий скрипт или скрипт, загружающий вирус?

 

[SNS-amigo]

Откуда эта гнида лезет не пойму. Так же не понятно, что первично вирус, загружающий скрипт или скрипт, загружающий вирус?

Bahus, первично - уязвимости в CMS WordPress, через которую всё это позволяется, см. вот эту статью.

 

[Bahus]

У меня нет WP-Super-Cache

 

[regist]

У меня нет WP-Super-Cache

Bahus, это просто реклама была, разумеется та статься к вашему взлому никакого отношения не имеет, кроме того что там тоже про wordpress. Думаю движок у вас обновлён до последней версии?
По вопросу, скрипт внутри тела страниц вторичен и является следствием заражения.

 

[Bahus]

Все постоянно обновляется до последних версий сразу же после выхода.

 

[regist]

После проверки был найден PHP.BlacoleRef. Все вылечили. Левый скрипт вычищен из статей.

А чем проверяли? Вычистили только этот скрипт (может там ещё зараза осталась, которую не вычистили)? Возможно глупый вопрос, но Айболитом или Manul-ом проверяли?
+ у вас на сайте есть такие ссылки

http://goo.gl/6UnImm
http://goo.gl/Sqz26j

они вам знакомы?

 

[Сергій]

httр://gоо.gl/ - я ,кстати, слышал, что это боевой вирус (по новостям говорили)

 

[Bahus]

они вам знакомы?

Да.

Айболитом или Manul-ом проверяли?

Нет. Проверял через хостера. У них virusdie.ru проверяет. Не хуже айболита.

 

[SNS-amigo]

Bahus, у Яндекса в этом году появился Манул, мы его тут представляли летом.
Если Ваш хостер и Вирусдай позволяют, то воспользуйтесь. Как пользоваться, там указано.
Указанный вами скрипт атакует сайты на основе ВордПресса уже примерно полгода. Сведения из новостей здесь не помогут. Инъекция непростая.

 

[regist]

httр://gоо.gl/ - я ,кстати, слышал, что это боевой вирус (по новостям говорили)

Это просто сервис сокращения ссылок. Для чего используют и где это уже другой вопрос.
К примеру

http://goo.gl/swAkXv

- это ссылка на эту страницу.

 

[Bahus]

Появился левый файл с шелом. Хотелось бы его раскодировать, чтобы понять, звенья одной цепи или два независимых взлома.
Код тут

 

[regist]

Хотелось бы его раскодировать

без знания, что передают в $_POST['g__g_'] или тут $_COOKIE['g__g_'] скорее всего расшифровать не получиться.
И добавлю отчёт о проверке на вирустотал Antivirus scan for 20f76ada1721b61963fa595e3a2006c96225351362b79d5d719197c190cd4239 at 2015-11-19 06:23:34 UTC - VirusTotal

 

[Bahus]

pastebin подтупливает
код