Поддержка Проблемы и решения Вредоносный код

  • Доброго времени, понимающие.
    Вчера появилась проблема с shopfilters.ru и его поддоменом aquaphor.shopfilters.ru (оба на одной БД), а именно: странный вредоносный код. Проявляет себя так:
    1. Отключилась возможность обновлять и устанавливать плагины, ядро и т.п.
    2. Жуткие тормоза в админ-панели.
    3. На этом глюки, видимые админу закончились. Ниже описаны проблемы, наблюдаемые пользователями customer, причем только если он посещает сайт из сети, из которой не заходил админ.
    4. При нажатии на меню, логотип и т.п. включается редирект на казино, тотализаторы и т.п.

    Какие шаги были предприняты до появления проблемы:
    1. Установил плагины: ATUM Inventory Management for WooCommerce, Woomage Store Manager WooCommerce API, Smart Store Manager For Your WooCommerce Shop, Store Manager Connector, все с wordpress.org, к последнему скачал триал api-приложение для мониторинга склада с пк.
    2. За пару дней до этого установил Smart Store Manager For Your WooCommerce Shop со стороннего ресурса, предварительно проверив его касперским и докторвэбом, обычную версию, но он адски тормозил. Его снес, и поставил, как уже сказано, с wordpress.org.

    Вчера вечером знакомый сообщил о появившейся проблеме.

    Какие шаги были предприняты после появления проблемы:
    1. Отключил все недавно установленные плагины на обоих сайтах — не помогло
    2. Тоже сделал с темами — не помогло
    3. Проверил сервисами: http://sitecheck.sucuri.net/:

    Website: shopfilters.ru
    Status: Infected With Malware. Immediate Action is Required.
    Web Trust: Not Currently Blacklisted (10 Blacklists Checked)
    Scan Result Severity Recommendation
    Malware Detected Critical GET YOUR SITE CLEANED
    ISSUE DETECTED DEFINITION INFECTED URL
    Website Malware rogueads.unwanted_ads?1 http://shopfilters.ru/404javascript.js ( View Payload )
    Website Malware rogueads.unwanted_ads?1 http://shopfilters.ru/dostavka/ ( View Payload )
    Website Malware rogueads.unwanted_ads?1 http://shopfilters.ru/my-account/ ( View Payload )
    Website Malware rogueads.unwanted_ads?1 http://shopfilters.ru ( View Payload )
    Known javascript malware. Details: http://labs.sucuri.net/db/malware/rogueads.unwanted_ads?1
    <script type=»text/javascript» src=»//go.oclasrv.com/apu.php?zoneid=1488199″></script>

    и https://rescan.pro/

    Постоянная ссылка на отчет https://rescan.pro/result.php?2f622e7c5839ddba035f4c1e2266d425
    Опасный код на странице ✔ Проблем не обнаружено
    Вирусы в скриптах ✔ Проблем не обнаружено
    Вставки с опасных сайтов ✖
    <SCRIPT>
    http://go.oclasrv.com/apu.php?zoneid=1488199<SCRIPT&gt;
    http://deloton.com/apu.php?zoneid=1488199<IFRAME&gt;
    Сайт в базе вредоносных ✔ Проблем не обнаружено
    Редиректы ✔ Проблем не обнаружено
    Ошибки страницы ✔ Проблем не обнаружено
    Вставки с неизвестных сайтов ✔ Проблем не обнаружено
    Ресурсы с внешних сайтов ✔ Проблем не обнаружено
    Ошибки загрузки ресурсов ✔ Проблем не обнаружено
    Внешние ссылки ✔ Проблем не обнаружено
    Дополнительная информация
    Окончание регистрации домена ✔ 2018-10-05, 288 дней
    Время генерации / загрузки / DOM Ready ✔ 1.385s / 1.482s / 2.098s
    Ошибки на странице ✔ —
    Ошибки Javascript ✖ 3
    IP / NS сервера 77.222.61.9 / NS: ns2.spaceweb.ru, ns1.spaceweb.ru, ns3.spaceweb.pro, ns4.spaceweb.pro, mx.yandex.net
    CMS Wordpress

    4. Т.к. был найден код, просканировал public_html обоих сайтов Anti-Malware Security and Brute-Force Firewall.
    Были обнаружены вкрапления в functions.php тем и некоторые файлы плагинов. Применил предлагаемое лечение. Успешно. Но при следующих проверках снова вкрапления в functions.php тем и уже другие файлы плагинов.

    5. Откатил файлы и бд на день назад — не помогло
    6. Откатил файлы и бд на 6 дней назад (самый старый бэкап) — не помогло.

    Вразумите, если не трудно, что делать?

    Страница, с которой нужна помощь: [войдите, чтобы увидеть ссылку]

Просмотр 4 ответов — с 1 по 4 (всего 4)
  • При нажатии на меню, логотип и т.п. включается редирект на казино, тотализаторы и т.п.

    При первом моем клике на логотип сразу оживился мой «Касперсий». Покрутил, покрутил свое колечко ожидания на белой странице, открывшейся в браузере, но редиректа на сторонние сайты не было. В конце концов вернулся к главной странице вашего сайта.

    При повторных кликах на лого и меню «Касперский» уже молчал и с вашего сайта я не уходил.

    P.S. Это конечно вам не помощь, а просто дополнительная деталь и она говорит, что проблема есть..

    • Ответ изменён 4 года, 6 месяцев назад пользователем O.
    • Ответ изменён 4 года, 6 месяцев назад пользователем O.

    Да, благодарю, мои ip уже все, похоже засвечены, т.к. с них все норм. Но конверсия упала в пол уже. Кто сможет помочь с решением этой проблемы, отзовитесь, пожалуйста

    Все исправил. Ясность внес вот этот пост, и хоть и жесткие, но правдивые коментарии к нему: https://ru.wordpress.org/support/topic/%D0%B2%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D1%8B%D0%B9-%D0%BA%D0%BE%D0%B4-%D0%B2-wordpress/

Просмотр 4 ответов — с 1 по 4 (всего 4)
  • Тема «Вредоносный код» закрыта для новых ответов.