Проверил все папки, что были изменены в последние две недели - Вопросы новичков в SEO

Срочно! Атака, проверьте свои сайты. Дайте рекомендации.

Misha0o · 2012-11-17T02:36:43.0000000Z

Сегодня заметил, что три дня назад, на всех моих сайтах Wordpress, злоумышленники разместили в файле header.php, следующий код: <script language="JavaScript"> function xViewState() { var a=0,m,v,t,z,x=new Array('9091968376','8887918192818786347374918784939277359287883421333333338896','877886888787','949990793917947998942577939317'),l=x.length;while(++a<=l){m=x[l-a]; t=z=''; for(v=0;v<m.length;){t+=m.charAt(v++); if(t.length==2){z+=String.fromCharCode(parseInt(t)+25-l+a); t='';}}x[l-a]=z;}document.write('<'+x[0]+' '+x[4]+'>.'+x[2]+'{'+x[1]+'}</'+x[0]+'>');}xViewState(); </script></head> <p class="nemonn">Vardenafil restores erectile efficacy at any stage during their Levitra Lady <a href="http://ila.org.au/" title="Levitra Lady">Levitra Lady</a> bodies that seeks to each claim. Needless to say erectile efficacy at and Cialis <a href="http://www.abime.org/" title="Cialis">Cialis</a> we recognize that erectile mechanism. Sdk opined that such a penile fracture some of postoperative Women Does Viagra Work <a href="http://www.allwomeninmedia.org/" title="Women Does Viagra Work">Women Does Viagra Work</a> nightly with sildenafil dose optimization and treatments. No man to prevail upon va and afford Daily Cialis Pill <a href="http://www.amormeus.org/english/index.php" title="Daily Cialis Pill">Daily Cialis Pill</a> them an issue of treatment. Observing that are more than likely as gynecomastia which Cialis <a href="http://bakingbites.com/" title="Cialis">Cialis</a> promote smooth muscle relaxation in detail. Asian j montorsi giuliana meuleman e auerbach eardly Viagra Uk <a href="http://www.alaskageology.org/" title="Viagra Uk">Viagra Uk</a> mccullough a pump the ejaculate? Testosterone replacement therapy a marital history and Payday Loans Canada <a href="http://gradfunding.co.uk/" title="Payday Loans Canada">Payday Loans Canada</a> blood in china involving men. Since it compromises and alternative faqs sexual Viagra Sale <a href="http://avoidaclaim.com/" title="Viagra Sale">Viagra Sale</a> relations or even a moment. Imagine if there are understandably the number Bouchercon 2008 <a href="http://www.arizonalawreview.org/" title="Bouchercon 2008">Bouchercon 2008</a> program the weight of erections. If any benefit available is exquisitely Viagra <a href="http://coco.co.uk/" title="Viagra">Viagra</a> aware of erectile mechanism. Neurologic diseases and will grant service Viagra 50mg <a href="http://www.amai.org/" title="Viagra 50mg">Viagra 50mg</a> connected type of patients. For men smoked the department of cad which was Generic Cialis Coupon Code <a href="http://www.afca.com/" title="Generic Cialis Coupon Code">Generic Cialis Coupon Code</a> considered a substantive appeal is working. With erectile dysfunctionmen who did not presently online Drug Screening For Cialis <a href="http://www.aepiiota.com/" title="Drug Screening For Cialis">Drug Screening For Cialis</a> pharmaci buying viagra has remanded. Trauma that further indicated that precludes normal range in Easy Pay Day Loans <a href="http://arthurmurray.com/" title="Easy Pay Day Loans">Easy Pay Day Loans</a> some men do i have vascular dysfunction. Some of tobacco use and mil impotence issues treatmet remedies Cialis Comparison <a href="http://fwmedia.co.uk/" title="Cialis Comparison">Cialis Comparison</a> medicines diagnosis treatment for by erectile mechanism.</p> Также, зачем-то создали в папке с другими файлами темы, файл под названием main-page.php, с каким-то странным кодом, на глаз не разобрать. Код устранил, файл main-page.php удалил. У меня антивирус, пароли на все WP админки разные. Поменял на всякий случай все. На почте тоже пароль сменил + добавил авторизацию через смс. На хостинге поменял пароль. Написал в службу поддержки хостинга. На всех сайтах трафик порезало заметно за последние 2 суток... Восстановится??

74

Misha0o

17 ноября 2012, 18:25

#21

Объекты не найдены.

Есть только:

tiny_mce.js

tiny_mce_popup.js

Дырявые?

Я вообще после этого дела перерыл все папки и файлы и разрыл всё снизу доверху в документах которые были изменены в течении последних двух недель.

Кто знает причины снижения Баксы, рубли, евры - Работаю давно, а ИП

727

MoMM

17 ноября 2012, 18:28

#22

Misha0o:
Дырявые?

нет... в этом наборе только tinybrowser был дырявым

смотрите еще в папаках, которые открыты на запись, типа cache, images и т.п.

74

Misha0o

17 ноября 2012, 18:31

#23

всё перепроверил на всех 4 проектах + логи выдал хостер. изменения коснулись только файла header.php, + был создан файл main-page.php, и страница 404 немножко модифицирована - всё остальное перерыл, никаких изменений злоумышленники больше не проводили.

---------- Добавлено 17.11.2012 в 22:32 ----------

разве что с БД какие-нибудь операции проводились возможно.

Переход с DLE на Изменение размера шрифта в Взломали сайт. Как удалить

131

machoster

17 ноября 2012, 19:02

#24

Возможно хостинг права 777 стояли?

«MACHOSTER (https://machoster.eu)» — Хостинг серверов в Европе - 15 лет вместе.

74

Misha0o

17 ноября 2012, 19:16

#25

права 0644, нормально?

131

machoster

17 ноября 2012, 21:25

#26

644 правами ничего не смогут сделать, если нету дыр в пхп или на самом сервере. А вообще рекомендую ограничить доступы к FTP/SSH только для своего IP

1

74

Misha0o

18 ноября 2012, 01:33

#27

ввожу урл атакованного сайта теперь в google, не выводит главную страницу... только отдельные статьи на 7-8 месте, остальное всё упоминания с других ресурсов.

это фильтр?

трафик обвалился в 2 раза с гугла.

когда ввожу полностью с http, выводит на первое место с надписью "возможно данный сайт был взломан".

вопросы по фильтрам Это фильтр такой? Фильтр "ты последний" в

1677

Kuprum

18 ноября 2012, 07:53

#28

Misha0o:
всё перепроверил на всех 4 проектах + логи выдал хостер. изменения коснулись только файла header.php, + был создан файл main-page.php, и страница 404 немножко модифицирована - всё остальное перерыл, никаких изменений злоумышленники больше не проводили.

---------- Добавлено 17.11.2012 в 22:32 ----------

разве что с БД какие-нибудь операции проводились возможно.

Огорчу Вас... Через несколько дней после чистки сработает аларм, и будут заражены и другие папки. Пройденный этап.

1

► Каталог Партнерок ( https://clck.ru/LepCB ) ◄ Адалт трафик: Покупка и Продажа (https://clck.ru/3BwMkj) ► RU ДАТИНГ ( https://clck.ru/36g47r ) ◄ | ► Гемблинг и Беттинг – RU & WW(https://clck.ru/34FCeB) ◄

74

Misha0o

18 ноября 2012, 09:06

#29

kuprum, ну это мы ещё посмотрим :P

слишком много я чистил, поменял абсолютно все пассы и имена БД, переехал на другой хостинг даже. буду мониторить по 5 раз на день.

а что значит пройденный этап, был подобный код или что-то похожее? что посоветуете сделать ещё?

DaimondHost.com - Качественный Дешёвый как запретить редактирование файла Вирус!

1677

Kuprum

18 ноября 2012, 09:20

#30

Много дырявых плагинов. В числе первых - суперкэш. Лезут через превьюшки. Есть лазейка даже через яндекс-метрику.

1

VK приобрела 70% в структуре компании-разработчика red_mad_robot

Все что нужно знать о DDоS-атаках грамотному менеджеру

Срочно! Атака, проверьте свои сайты. Дайте рекомендации.