• Решено flater1c

    (@flater1c)


    Добрый день!

    Появилась проблема — при заходе на сайт редиректит на рекламный сайт благодаря затесавшемуся скрипту
    <script src="https://clicks.worldctraffic.com/clizkes" type="text/javascript"></script>
    Не могу найти, куда он попал. Просканил плагином wordfence — ничего не нашел.
    Что предпринял: по мотивам подобной темы (https://ru.wordpress.org/support/topic/%D0%BF%D1%80%D0%BE%D0%B8%D1%81%D1%85%D0%BE%D0%B4%D0%B8%D1%82-%D1%80%D0%B5%D0%B4%D0%B8%D1%80%D0%B5%D0%BA%D1%82-%D0%B2%D0%B7%D0%BB%D0%BE%D0%BC%D0%B0%D0%BB%D0%B8-%D1%81%D0%B0%D0%B9%D1%82/) в базе сменил значение в таблице wp_options (перестало редиректить с админки, при заходе на главную редирект остался)
    Также заменил ядро.
    Все это не помогло; также замечено, что проблема появляется, если я на сайте не залогинен. Тем не менее, в отладке хрома кусок этого кода виден. Где он может быть и как расправиться с этим редиректом?

    p.s. никаких новых плагинов за последние два месяца не устанавливалось.

    • Тема изменена 5 лет назад пользователем flater1c.
Просмотр 13 ответов — с 1 по 13 (всего 13)
  • имеет смысл обратиться к Специалистам.

    Вирус в каждую запись таблицы wp_post добавил код редирект. Удалить там этот кусок кода во всех записях.

    Не понятно как вирус смог заразить сайт, у меня стоит чистый wp (последней версии) вообще без плагинов. Темы только стандартные… сайт заразился как-то… других сайтов на хосте нет.

    Модератор Yui

    (@fierevere)

    永子

    Adminer в чистом варианте или как плагин не используете?

    https://blog.sucuri.net/2019/11/vulnerable-versions-of-adminer-as-a-universal-infection-vector.html

    @yui вообще никакой плагин не использовал. По факту сайт чистый, я его установил в среду. Так и оставил, ничего на нём не делал. В пятницу на нём был редирект. Каким образом мог попасть, понятия не имею.

    Чудес не бывает. Если дело не в WordPress, значит хостинг дырявый. Удалите все с корня сайта и распакуйте заново архив с дистрибутивом вордпрес с этого сайта и установите.

    А может у вас компьютер с вирусами и вирус идет через ФТП с вашего компьютера.

    А этот не трогают

    Хитрое продвижение сайта Казино 🙂

    Автор flater1c

    (@flater1c)

    Действительно, был админер в корне сайта + все прописалось в wp_posts.
    Подскажите, данный запрос

    UPDATE wp_posts 
    set post_content = 
    REPLACE (post_content, 
    '<script src='https://clicks.worldctraffic.com/clizkes' type='text/javascript'></script>',
     ' ')

    удалит только запись со скриптом? в пост_контент еще куча полезной информации, не удалится ли она? спасибо заранее

    Модератор Yui

    (@fierevere)

    永子

    https://ru.wordpress.org/plugins/better-search-replace/

    плагин поиска и замены это сделает более безопасно.

    Бэкапы не забывайте, даже зараженного сайта (помечайте их как зараженные только).

    Автор flater1c

    (@flater1c)

    Сейчас после удаления админера и смены всех паролей в wp_options в siteurl и home опять начала прописываться ссылка на вредоносный сайт (буквально через несколько минут после замены на нормальный адрес), т.е. в админке тоже не успеваю ничего сделать, сразу идет редирект

    Автор flater1c

    (@flater1c)

    Не могу отредактировать последнее сообщение.

    Пришлось все-таки удалять скрипт с помощью sql запроса, после того, как все вычистил, по-новой сменил пароли скрипт перестал перезаписывать себя в БД. Пока мониторю часик-другой эту ситуацию.

    упд. спустя час полет нормальный, всем спасибо

    • Ответ изменён 5 лет назад пользователем flater1c.

    Редирект еще может происходить по причине того что просто сбрутили админку, уже давно так делают на новых. Либо через уязвимости.

    • Ответ изменён 5 лет назад пользователем Alex.
    Автор flater1c

    (@flater1c)

    Возможно, но судя по наблюдениям в моем случае виноват был Админер.

Просмотр 13 ответов — с 1 по 13 (всего 13)
  • Тема «редиректит на рекламную страницу» закрыта для новых ответов.