Ну, таких большинство. Причем, основной удар пришелся на 19-20 число, много сайтов "полегло". И проблема в том, что при заражении содержимое .js файлов заменяется на вредоносный инжект с редиректом на партнерку.
Атака выглядела примерно так:
Подробности еще можно почитать здесь https://modx.pro/security/15912#cut (в комментариях самое интересное)
Это неправда. Сигнатуры у всех разные. И качество обнаружения разное. "Вместо тысячи слов": возмите зараженный сайт и просканируйте двумя (тремя, четырьмя) разными антивирусами. Увидите разницу по числу обнаруженных файлов, потом выберите функцию автоматического лечения и посмотрите результат, сколько на автомате вылечится файлов.
Взял сейчас ради интереса ваш файл, просканировал публичной версией айболита. И он файл сдетектил.
Что я делаю не так?
https://imgur.com/wHf69PS
Вывод тут может быть простой:
1. проверять нужно свежей версией сканера (может вы просканировали древней версией)
2. убедиться, что на файле есть права на чтение (может файл у вас был не доступен на чтение, поэтому не сдетектился)
В общем, много вопросов, как вы так проверяли, что файл пропустился.
А файл - классический, такие вещи айболитом детектятся в легкую.
Revisium Antivirus != AI-BOLIT, это совершенно другой продукт. И базы у них разные.
Их не корректно сравнивать.
Есть ссылка на пруф? Какое-то исследование, где указано, что 95?
Мы лечим по несколько сотен сайтов в месяц и сканируем по несколько тысяч, и вот у нас совсем другие цифры.
Предполагать, что проблема в дырявых плагинах - не совсем верно. Вариантов заражения масса. Вот лишь некоторые:
1. Зараженные или дырявые соседние сайты по аккаунту
2. Через сбрученный, перехваченный пароль от FTP/SSH
3. Недолеченный сайт (остался бэкдор)
4. Уязвимости в плагинах (не в теме, например)
5. Рутованный сервер
6. Скомпрометированная админка (например, через редактор файлов в WP можно внедрять код в php)
Заменять тему WP, чтобы вылечить сайт от редиректа, это как прикладывать подорожник при переломе. Маловероятно, что оно поможет. Проблему нужно решать комплексно.
xmlrpc.php можно оставить открытым для локальных адресов, а для внешнего мира заблочить через .htaccess, если у вас Apache.
---------- Добавлено 21.06.2018 в 12:14 ----------
Наш не поломает.
Если панель ISPmanager Lite или Plesk Onyx 17.x - можно установить Revisium Antivirus для панели и вылечить сайты автоматом.
Новая версия сканера AI-BOLIT
- исправлен детект версии PHPMailer в Joomla
- исправлена проверка версии в vBulletin (фикс от kerk)
- ускорение за счет "умного сканирования" кэш-файлов
- уменьшено число ложных срабатываний- переработана база сигнатур
- пополнены сигнатуры свежих вирусов и вредносных скриптов, а также и база whitelist
https://revisium.com/ai/
+ мы разработали отдельно версию сканера для хостинг-компаний
https://revisium.com/ru/blog/ai-bolit-4-ISP.html
Бонус-треком сегодня идут наши статьи:
1. Все, что нужно знать про источники высокой нагрузки на сайт:
http://www.cmsmagazine.ru/library/items/management/site-is-locked-for-exceeding/
2. Описание атаки на Wordpress:
https://revisium.com/ru/blog/wp47-respapi-attack.html
Первый в 2017м году релиз сканера AI-BOLIT.
Из нового:
- оптимизирован и ускорен процесс сканирования большого числа файлов в папках кэш (можно отключать, возвращаясь к стандартной схеме)
- обновленные сигнатуры вредоносных скриптов
- детектирование уязвимого скрипта PHPMailer
- свежая база whitelist файлов из новых версий Joomla, Bitrix, MODx, Drupal, Wordpress
Еще не проверяли свои сайты в этом году? Рекомендуем сделать это прямо сейчас. Загрузить сканер можно по ссылке https://revisium.com/ai/
Безопасно. В результате мы сообщим, есть заражение или нет. Если есть, то примеры опасных скриптов.
Новую версию сканера AI-BOLIT (в том числе и под Windows) можно загрузить на странице https://revisium.com/ai/
Обновлена база вредоносных скриптов и уменьшено число ложных срабатываний за счет пополнения базы whitelist для всех популярных CMS.
Обращаем внимание на правильный способ запуска скрипта:
При этом число ложных обнаружений будет меньше.
Бонус-треком сегодня идут свежие материалы по безопасности и защите сайтов: