Поддержка Поиск специалистов Вредоносный код

  • Решено fffmiller

    (@fffmiller)


    Доброго времени, понимающие.
    Вчера появилась проблема с shopfilters.ru и его поддоменом aquaphor.shopfilters.ru (оба на одной БД), а именно: странный вредоносный код. Проявляет себя так:
    1. Отключилась возможность обновлять и устанавливать плагины, ядро и т.п.
    2. Жуткие тормоза в админ-панели.
    3. На этом глюки, видимые админу закончились. Ниже описаны проблемы, наблюдаемые пользователями customer, причем только если он посещает сайт из сети, из которой не заходил админ.
    4. При нажатии на меню, логотип и т.п. включается редирект на казино, тотализаторы и т.п.

    Какие шаги были предприняты до появления проблемы:
    1. Установил плагины: ATUM Inventory Management for WooCommerce, Woomage Store Manager WooCommerce API, Smart Store Manager For Your WooCommerce Shop, Store Manager Connector, все с wordpress.org, к последнему скачал триал api-приложение для мониторинга склада с пк.
    2. За пару дней до этого установил Smart Store Manager For Your WooCommerce Shop со стороннего ресурса, предварительно проверив его касперским и докторвэбом, обычную версию, но он адски тормозил. Его снес, и поставил, как уже сказано, с wordpress.org.

    Вчера вечером знакомый сообщил о появившейся проблеме.

    Какие шаги были предприняты после появления проблемы:
    1. Отключил все недавно установленные плагины на обоих сайтах — не помогло
    2. Тоже сделал с темами — не помогло
    3. Проверил сервисами: http://sitecheck.sucuri.net/:

    Website: shopfilters.ru
    Status: Infected With Malware. Immediate Action is Required.
    Web Trust: Not Currently Blacklisted (10 Blacklists Checked)
    Scan Result Severity Recommendation
    Malware Detected Critical GET YOUR SITE CLEANED
    ISSUE DETECTED DEFINITION INFECTED URL
    Website Malware rogueads.unwanted_ads?1 http://shopfilters.ru/404javascript.js ( View Payload )
    Website Malware rogueads.unwanted_ads?1 http://shopfilters.ru/dostavka/ ( View Payload )
    Website Malware rogueads.unwanted_ads?1 http://shopfilters.ru/my-account/ ( View Payload )
    Website Malware rogueads.unwanted_ads?1 http://shopfilters.ru ( View Payload )
    Known javascript malware. Details: http://labs.sucuri.net/db/malware/rogueads.unwanted_ads?1
    <script type=»text/javascript» src=»//go.oclasrv.com/apu.php?zoneid=1488199″></script>

    и https://rescan.pro/

    Постоянная ссылка на отчет https://rescan.pro/result.php?2f622e7c5839ddba035f4c1e2266d425
    Опасный код на странице ✔ Проблем не обнаружено
    Вирусы в скриптах ✔ Проблем не обнаружено
    Вставки с опасных сайтов ✖
    <SCRIPT>
    http://go.oclasrv.com/apu.php?zoneid=1488199<SCRIPT&gt;
    http://deloton.com/apu.php?zoneid=1488199<IFRAME&gt;
    Сайт в базе вредоносных ✔ Проблем не обнаружено
    Редиректы ✔ Проблем не обнаружено
    Ошибки страницы ✔ Проблем не обнаружено
    Вставки с неизвестных сайтов ✔ Проблем не обнаружено
    Ресурсы с внешних сайтов ✔ Проблем не обнаружено
    Ошибки загрузки ресурсов ✔ Проблем не обнаружено
    Внешние ссылки ✔ Проблем не обнаружено
    Дополнительная информация
    Окончание регистрации домена ✔ 2018-10-05, 288 дней
    Время генерации / загрузки / DOM Ready ✔ 1.385s / 1.482s / 2.098s
    Ошибки на странице ✔ —
    Ошибки Javascript ✖ 3
    IP / NS сервера 77.222.61.9 / NS: ns2.spaceweb.ru, ns1.spaceweb.ru, ns3.spaceweb.pro, ns4.spaceweb.pro, mx.yandex.net
    CMS Wordpress

    4. Т.к. был найден код, просканировал public_html обоих сайтов Anti-Malware Security and Brute-Force Firewall.
    Были обнаружены вкрапления в functions.php тем и некоторые файлы плагинов. Применил предлагаемое лечение. Успешно. Но при следующих проверках снова вкрапления в functions.php тем и уже другие файлы плагинов.

    5. Откатил файлы и бд на день назад — не помогло
    6. Откатил файлы и бд на 6 дней назад (самый старый бэкап) — не помогло.

    Вразумите, если не трудно, что делать?

    *************
    На настоящий момент:
    1.На форумах была создана соответствующая тема. Ошибки подтвердились. Сейчас у людей все обстоит вот так:
    «При первом моем клике на логотип сразу оживился мой «Касперсий». Покрутил, покрутил свое колечко ожидания на белой странице, открывшейся в браузере, но редиректа на сторонние сайты не было. В конце концов вернулся к главной странице вашего сайта.

    При повторных кликах на лого и меню «Касперский» уже молчал и с вашего сайта я не уходил.

    P.S. Это конечно вам не помощь, а просто дополнительная деталь и она говорит, что проблема есть..»
    2. На хостинге открыл исходящий трафик, сайт перестал тормозить, открылись обновления.
    3. После этого обновил все плагины, темы, саму WP (на поддомене)
    4. Проверил оба сайта еще раз Anti-Malware Security and Brute-Force Firewall, нашлись ошибки, они были устранены посредством самого плагина.
    5. Проверил оба сайта https://sitecheck.sucuri.net/
    6. Результаты те же, что и выше, на тех же страницах и с тем же скриптом.

    Есть желание самому разобраться, но понимаю, что без знаний языков и всей арихитектуры в целом это «пальцем в небо»

    Страница, с которой нужна помощь: [войдите, чтобы увидеть ссылку]

Просмотр 1 ответа — с 1 по 1 (всего 1)
Просмотр 1 ответа — с 1 по 1 (всего 1)