- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Всем привет, в общем проблема с плагином в вордпрессе Seo Adviser (xcalendar), который я не устанавливал вообще.
Начну по порядку, как добрался до него.
Сегодня утром пришло письмо из гугла, мол ваш сайт взломали. Проверяю, действительно появилось в выдаче гугл (в яндекс нет ни одной такой страницы) около 60-70 страниц, в стиле: forexample.com/hotel-of-San-Francisko, тематика естественная для этого, начиная от виагры заканчивая казино, все статьи на английском и ни на одной нет внешних ссылок, изредка они ссылаются друг на друга, ну и естественно все страницы корявые. Проверяю сайт множеством он-лайн проверок - все норм. Потом проверяю антивирусом своего хоста и мне находит 18 инфицированных файлов.
Дальше решил сделать бекап с хостинга за 25.07.2015, так как предположительно троян появился 26.07 на хостинге, сделал, в итоге из этих 60-70 страниц почти все стали not found, осталось только 5-7, проверяю антивирусом все те же 18 зараженных файлов. Далее делаю бекап за 20.07.2015, антивирус - зараженных файлов нет, проверяю оставшиеся страницы в выдаче гугл, все тоже стали not found (но как выяснилось потом одна все же осталась и имеет прикольное название Test WP), думаю ура! обновляю вп (хотя он и был последней версии), далее иду к плагинам. Удаляю не используемые и обновляю используемые, и вот тут дело доходит до плагина Seo Adviser, начинаю вспоминать, что это такое и когда я его установил, не могу вспомнить (кроме меня плагины никто не мог устанавливать). Удаляю его и всё.. админка не работает и сайт тоже, просто белый экран без каких либо ошибок и т.д. Опять делаю бекап 20.07.2015 из хоста, сразу антивирус и опять эти же 18 файлов заражены. Вот скрин из админки на этот плагин.
Если перейти на страницу плагина, то будет такой же белый экран, как и при удалении этого плагина. Гуглил, искал этот плагин и никакой информации не нашел. Также пытался удалить его через фтп, еще и не сразу его нашел, так как в фтп он был под название xcalendar, удалил - сайт опять лежит. Появился он на хосте аж 26.06.2015 в 9 утра, а это значит, что 100% я его не устанавливал=)
Далее мне посоветовали, скачать архив за 20.07.2015 удалить все инфицированные файлы в нем и заменить их исходными, так как в них ничего и не менялось за это время. Сайтом начал заниматься с января 2015 и исходных файлов у меня не оказалось (видимо случайно удалил или запихнул хз куда), был на компе бекап от 13.03.2015, ну дамаю там то точно все чисто (этот архив был скачан и не открывался). Скачиваю бекап с хоста за 20.07.2015 распаковываю его, на компе уже более 7 месяцев стоит лицензионный Dr.Web и он сразу находит около 10 инфицированных PHP.Shell, сразу удаляет их. Далее распаковываю архив за 13.03.2015 и в нем Dr.Web находит эти же самые инфицированные файлы, то есть получается они с марта сидят и только сейчас начали действовать.
Теперь задаюсь вопросом это изначально на компе был вирус, хотя др.веб стоял до момента работы с сайтом или эти файлы были изначально инфицированы, еще смущает то что плагин TinyMCE заражен, мб он изначальная проблема? Так как он примерно был установлен через 2-3 месяца после запуска сайта(хотя я всегда обновляю используемые плагины, ну может пару дней бывают пробелы). В общем, если кто-то сталкивался с этим плагином Seo Adviser или что-то аналогичное моей ситуации, буду рад любому совету, заранее предупреждаю в этой теме я не очень силен (но за этот день прочитал тонну инфы), первый раз сталкиваюсь с таким, также можете посоветовать знающих в этом вопросе людей, конечно же за адекватную цену=) Если надо будет выложу код этого плохого плагина.
Код плагина вряд ли кому нужен.
Шелл на сайте может лежать и пол года до использования, именно для того чтобы при восстановлении бекапа вами, доступ к сайту сохранялся.
При удалении плагина и проявлении белого экрана, смотрите еррор.лог сайта, обычно его видно по фтп (но иногда только в панели хостера). Вероятно в движке вручную где либо прописан путь до плагина, при удалении хостинг сообщает об отсутствии файла и прекращает обработку движка (белый экран).
Все знающие люди в разделе работы.
Согласен с kgtu5
Нужно проверять все вручную, антивирус для виндовс не расчитан на поиск шеллов и может не выявить их все.
Также добавлю, что даже если удалить шеллы, но не закрыть дыру, через которую они были залиты - сайт опять взломают.
Сегодня разработчик скинул изначальные файлы и один файл был заражен шеллом со старта проекта. Это и есть дыра или надо копаться дальше?
Возможно, есть еще дыры.
Нужно проверять весь код, все файлы.
Если разработчик скинул с шеллом - возможно, шелл залит намеренно и есть еще "мины".
Без детальной проверки ничего нельзя сказать.
Причем, шеллы могут прятаться в виде файла-картинки, а где-то в штацесс может быть правило, гласящее обрабатывать эту самую "картинку" как php-файл.
Если появился шелл, то значит есть дырка, через которую он и появился. Надо все проверять, каждый файлик.
Для Frinteza:
Проверьте wp-config.php
Удалите в нём редирект на xcalendar.
Из консоли сайта удалите плагин Seo Adviser (все файлы).
Начинайте искать дыру, через которую вас троллят шеллом.
Всем привет, в общем проблема с плагином в вордпрессе Seo Adviser (xcalendar), который я не устанавливал вообще.
Начну по порядку, как добрался до него.
Сегодня утром пришло письмо из гугла, мол ваш сайт взломали. Проверяю, действительно появилось в выдаче гугл (в яндекс нет ни одной такой страницы) около 60-70 страниц, в стиле: forexample.com/hotel-of-San-Francisko, тематика естественная для этого, начиная от виагры заканчивая казино, все статьи на английском и ни на одной нет внешних ссылок, изредка они ссылаются друг на друга, ну и естественно все страницы корявые. Проверяю сайт множеством он-лайн проверок - все норм. Потом проверяю антивирусом своего хоста и мне находит 18 инфицированных файлов.
Дальше решил сделать бекап с хостинга за 25.07.2015, так как предположительно троян появился 26.07 на хостинге, сделал, в итоге из этих 60-70 страниц почти все стали not found, осталось только 5-7, проверяю антивирусом все те же 18 зараженных файлов. Далее делаю бекап за 20.07.2015, антивирус - зараженных файлов нет, проверяю оставшиеся страницы в выдаче гугл, все тоже стали not found (но как выяснилось потом одна все же осталась и имеет прикольное название Test WP), думаю ура! обновляю вп (хотя он и был последней версии), далее иду к плагинам. Удаляю не используемые и обновляю используемые, и вот тут дело доходит до плагина Seo Adviser, начинаю вспоминать, что это такое и когда я его установил, не могу вспомнить (кроме меня плагины никто не мог устанавливать). Удаляю его и всё.. админка не работает и сайт тоже, просто белый экран без каких либо ошибок и т.д. Опять делаю бекап 20.07.2015 из хоста, сразу антивирус и опять эти же 18 файлов заражены. Вот скрин из админки на этот плагин.
Если перейти на страницу плагина, то будет такой же белый экран, как и при удалении этого плагина. Гуглил, искал этот плагин и никакой информации не нашел. Также пытался удалить его через фтп, еще и не сразу его нашел, так как в фтп он был под название xcalendar, удалил - сайт опять лежит. Появился он на хосте аж 26.06.2015 в 9 утра, а это значит, что 100% я его не устанавливал=)
Далее мне посоветовали, скачать архив за 20.07.2015 удалить все инфицированные файлы в нем и заменить их исходными, так как в них ничего и не менялось за это время. Сайтом начал заниматься с января 2015 и исходных файлов у меня не оказалось (видимо случайно удалил или запихнул хз куда), был на компе бекап от 13.03.2015, ну дамаю там то точно все чисто (этот архив был скачан и не открывался). Скачиваю бекап с хоста за 20.07.2015 распаковываю его, на компе уже более 7 месяцев стоит лицензионный Dr.Web и он сразу находит около 10 инфицированных PHP.Shell, сразу удаляет их. Далее распаковываю архив за 13.03.2015 и в нем Dr.Web находит эти же самые инфицированные файлы, то есть получается они с марта сидят и только сейчас начали действовать.
Теперь задаюсь вопросом это изначально на компе был вирус, хотя др.веб стоял до момента работы с сайтом или эти файлы были изначально инфицированы, еще смущает то что плагин TinyMCE заражен, мб он изначальная проблема? Так как он примерно был установлен через 2-3 месяца после запуска сайта(хотя я всегда обновляю используемые плагины, ну может пару дней бывают пробелы). В общем, если кто-то сталкивался с этим плагином Seo Adviser или что-то аналогичное моей ситуации, буду рад любому совету, заранее предупреждаю в этой теме я не очень силен (но за этот день прочитал тонну инфы), первый раз сталкиваюсь с таким, также можете посоветовать знающих в этом вопросе людей, конечно же за адекватную цену=) Если надо будет выложу код этого плохого плагина.
Пишу для тех кто столкнулся сэтим сейчас. У меня этот плагин тоже стоял не помню как кончно он там оказался, благо был не активирован, начал искать кто он такой и попал сюда, дк вот: удалите папку с плагином под название xcalendar (админка станет белой как говорилось выше) затем уберите строку которую он создаёт- ....xcalendar.... у меня была внизу в файле configuration.php
Подскажите где файл configuration.php и как вы нашли строку в configuration.php ,нужно пересмотреть все файлы,если у меня нет этой строки в этом файле?
Подскажите где файл configuration.php и как вы нашли строку в configuration.php ,нужно пересмотреть все файлы,если у меня нет этой строки в этом файле?
файл: wp-config.php
строка: require_once(ABSPATH.'wp-content/plugins/xcalendar/xcalendar.php');
Дальше заходите в админке к страницам и удаляете всю "красоту", а также проверяете в Внешний вид-меню наличие лишних элементов