Форум Сайтостроение Безопасность

Заразили несколько сайтов, есть еще жертвы?

123456 7
Aurums
На сайте с 28.02.2020
Offline
67
Aurums
1910

Сегодня обнаружил, что  какой то нехороший человек заразил четыре сайта на WP. 

Редирект на belonnanotservice и дальше по цепочке. 

У всех сайтов стоял одинаковый набор плагинов:

  • AMP
  • Cyr to Lat enhanced
  • Remove Dashboard Access
  • Ultimate Addons for Gutenberg
  • Yoast SEO
  • Конвертер WebP для изображений
  • Социальные сети Авто-пост
  • Autoptimize - Frank Goossens (futtta)
  • WP-automatic_v3.51.0 ( ВАРЕЗ)


Сразу намек пал на  WP-automatic,  но вирусный скрипт обнаружил в файлах  Autoptimize. Снес оба плагина, это не помогло. Как временное решение использовал:

wp-config.php

define( 'WP_HOME', 'http://example.com' );

define( 'WP_SITEURL', 'http://example.com' );



functions.php

update_option( 'siteurl', 'http://example.com' );

update_option( 'home', 'http://example.com' );

Тут можно почитать https://wordpress.org/support/article/changing-the-site-url/ .



G6
На сайте с 12.07.2007
Offline
160
garry69
#1

Плохо конечно, но вы бы посмотрели на предмет base64 скажем в индексном файле (что то типо header Location: сайт. Может быть) . А вообще стоит глянуть на варезный плагин, куда и что он может подписывать, скорее всего найдете интересные моменты. Наверняка появились новые файлы или папки. Скачайте архив wp и сравните.

.htaccess посмотрите и конфиг на предмет не ваших включений. Вообще зашифрованное base64 в файлах.

PW
На сайте с 03.12.2016
Offline
43
PandaWS
#2
Обычно файловые менеджеры показывают дату последнено изменения файлов.
Посмотрите что менялось в последнее время, сверьте с оригинальными файлами.
Вам могли залить новый файл или вписать нехороший код в существующие файлы.

Удалив плагины, грубо говоря вы замуровали дверь через которую можно войти (но не факт что виноваты они). Теперь ищите подклад внутри)

Еще скажу, если переадресация не постоянная, пересмотрите бесплатные js скрипты, и php скрипты которые подгружают что - то из вне. Знаю точно есть бесплатные скрипты которые обещают заблокировать советника бесплатно, но в замен они перенаправляют некоторых ваших пользователей на всякую рекламу.

Ну и самособой если вы подключаете какую то библиотеку js скачаную с не очень извезтного сайта, лучше их тоже проверить.
B
На сайте с 27.05.2018
Offline
110
Biomusor
#3
Aurums :

Сегодня обнаружил, что  какой то нехороший человек заразил четыре сайта на WP. 

Редирект на belonnanotservice и дальше по цепочке. 

У всех сайтов стоял одинаковый набор плагинов:

  • AMP
  • Cyr to Lat enhanced
  • Remove Dashboard Access
  • Ultimate Addons for Gutenberg
  • Yoast SEO
  • Конвертер WebP для изображений
  • Социальные сети Авто-пост
  • Autoptimize - Frank Goossens (futtta)
  • WP-automatic_v3.51.0 ( ВАРЕЗ)


Сразу намек пал на  WP-automatic,  но вирусный скрипт обнаружил в файлах  Autoptimize. Снес оба плагина, это не помогло. Как временное решение использовал:

Тут можно почитать https://wordpress.org/support/article/changing-the-site-url/ .



От пишите потом, что это было и как решили. Ваш опыт многим пригодится

Виктор Петров
На сайте с 05.01.2020
Offline
240
Виктор Петров
#4
Biomusor #:
От пишите потом, что это было и как решили. Ваш опыт многим пригодится

Все правила давно известны и понятны.

  • Не бери нулленые темы и плагины, бери из официального репозитория или с офсайтов
  • Юзай файерволлы
  • Сличай версии у себя и в репо. Тот же Wordfence это делает. Если находит разницу, тем более - бэкдор, сразу сигнализирует.
Это едва ли спасёт от 0-day уязвимостей, но в целом проблемы с ломом решает кардинально.

https://t.me/seomagus
Nixenz
На сайте с 24.08.2021
Offline
25
Nixenz
#5
WP сайты всегда дырявые, они самые популярные, периодически будут взламывать.
Семантическое Ядро: https://semanticheskoe-yadro.ru
W1
На сайте с 22.01.2021
Offline
283
webinfo
#6
Aurums :
вирусный скрипт обнаружил в файлах  Autoptimize. Снес оба плагина, это не помогло

Может быть он не вирусный был? Если не помогло, значит плохо искали.

Мой форум - https://webinfo.guru –Там я всегда на связи
Виктор Петров
На сайте с 05.01.2020
Offline
240
Виктор Петров
#7
Nixenz #:
WP сайты всегда дырявые, они самые популярные, периодически будут взламывать.

Не всегда. Совсем не всегда. После того, как я начал использовать на своих сайтах на WP тот же Wordfence - был единственный взлом уровня 0-day: сайт только на хостинг выгрузил, он был закрыт от индексации, но использовал официальный шаблон от одного из разрабов, у которого вот только на дурика нашли одну глобальную дырку в обороне - тогда тысячи сайтов по миру ломанули за пару часов чисто ботами. Патч они выпустили оперативненько, проблема была устранена.
Но это был единственный случай за 5 примерно лет с выборкой из нескольких десятков сайтов.

Vladimir
На сайте с 07.06.2004
Offline
529
Vladimir
#8
Nixenz #:
WP сайты всегда дырявые, они самые популярные, периодически будут взламывать.
В чем проблема закрыть доступ, даже если WP  дырявые?
Аэройога ( https://vk.com/aeroyogadom ) Йога в гамаках ( https://vk.com/aero_yoga ) Аэройога обучение ( https://aeroyoga.ru ) и просто фото ( https://weandworld.com )
Vladimir
На сайте с 07.06.2004
Offline
529
Vladimir
#9
Aurums :

Сегодня обнаружил, что  какой то нехороший человек заразил четыре сайта на WP.

Постоянно тысячи сайтов заражают, и ваш опыт ни чем не пригодится другим, точно также как и вам не пригодился опыт с серча предыдущий.

- проверяем файлы шаблона на предмет наличия запуска для закачки вируса
- полностью закрываем сайт на доступ
- полностью удаляем!! и заливаем WP
- полностью удаляем все плагины и заливаем с офф...
- в wp конфиг, запрещаем изменение файлов.
- в  htaccess запрещаем доступ в админку ( себе по  IP  разрешаем )
- разрешаем доступ на сайт

G6
На сайте с 12.07.2007
Offline
160
garry69
#10
Vladimir #:
Постоянно тысячи сайтов заражают

Не кошмарьте народ насчет тысяч и постоянно) 90% из за установки вареза заряженного. 10% из за недоработок в аддонах/плагинах, но все быстро латается.

Бекап спасет, перезалил прошлый и наслаждайся работоспособностью (или все ядро wp из архива скаченного) и сравнение в директориях файлов, "чужие" удалить. Все.

Насчет конфига и запрета, это все от лукавого или точнее, вы сможете запретить редактировать файлы из админки и все. Это ни разу не спасет от шеллов, опять же из-за установленного вареза, тем более если уже у вас есть зловред, ему не надо ничего через админку делать, все будет напрямую...

Насчет шаблона, опять же не зная что искать и как оно может выглядеть, бессмысленно, только бекап. Плагины так же бекапом и все, варезные удаляем и больше не ставим. В 99% процентах в ядро будут прописаны зловредом всякие нужные ему штуки и сами плагины не интересны.

У ТС явно же header Location есть где-то в индексном или в шабе или функция подписана..., найти можно, можно просто перезалить ядро, отключив и по удаляв серые плагины. Шаб из бекапа или архива, если нет, то ручками на зашифрованное проверить и странные инклюды из ядра или плагина.

123456 7

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий