Jump to content
Sign in to follow this  
sashok2993

Вирусный код в шаблонах Wordpress

Recommended Posts

Доброго времени суток уважаемые форумчане. Если вы сталкивались с подобной проблемой  огромная просьба, помогите.

 

Проблема: На одном из аккаунтов хостинга находится 4 сайта, на платформе Wordpress. Сегодня обнаружил странный код на каждом из сайтов. Непонятный код находится в каждом файле шаблона (sidebar.php, footer.php, header.php и т.д.) и отображается над нужным кодом вышеуказанных файлов. Пробовал удалять из файлов, но спустя время код начал опять отображаться. Ниже прикреплен скриншот. 

 

Вопрос: Что это за код? Как он попал и распространился на все сайты и файлы? Как его полностью убрать? Чем грозит? Как защитить сайты?

 

post-10628-0-79282600-1423102301_thumb.png

Share this post


Link to post
Share on other sites

Удали и смени пароли

Пароли админики, хостинга, фтп? 

Можете ответить на остальные вопросы?

Share this post


Link to post
Share on other sites

Удалить мало, нужно найти каким образом он попал на сайт. Отключите все плагины, обновите движок, поменяйте все пароли (все - это значит все, а не только перечисленные выше), также mysql, почты и тд. И приступайте к поиску всего, чего не должно быть в файлах, особенно в .htaccess

Короче всех мучений не описать.

Удачи!

Share this post


Link to post
Share on other sites

Ищите дату (смотрите логи), когда появился данный код и по возможности делаете бэкап "чистых" сайтов (но не восстанавливайте сразу), 

данный код будет заново прописываться во все файлы php формата (до определенного уровня вложенности), пока вы его везде не удалите (также могут присутствовать левые php файлы - содержать код вируса). 

 

В любом случае надо искать дыру в одном из ваших сайтов (чаще всего это какие то плагины). 

 

В данный момент можно запретить распространение вируса закрытием доступа ко всем файлам директории - закройте права (разрешения) на запись всех файлов (Oct: 0555 (r-xr-xr-x) или 0544). Но при этом на самих сайтах некоторый функционал станет недоступен (например регистрация пользователей).

 

А пароли - везде меняйте.

Share this post


Link to post
Share on other sites

Откат сделайте до даты когда кода не было еще. После этого замена всех паролей-Логинов. Запрет на добавление файлов пользователями. Если есть в темах tiny-thumb патчите от взлома. Плагины безопасности ставим от дурака. страницу авторизации меняем с wp-login,wp-admin на другую. Но если чача на всех сайтах то либо пароли одинаковые либо акк взломан. Так как доступ к рут директории был . Как то так

Share this post


Link to post
Share on other sites

Доброго времени суток уважаемые форумчане. Если вы сталкивались с подобной проблемой  огромная просьба, помогите.

 

Проблема: На одном из аккаунтов хостинга находится 4 сайта, на платформе Wordpress. Сегодня обнаружил странный код на каждом из сайтов. Непонятный код находится в каждом файле шаблона (sidebar.php, footer.php, header.php и т.д.) и отображается над нужным кодом вышеуказанных файлов. Пробовал удалять из файлов, но спустя время код начал опять отображаться. Ниже прикреплен скриншот. 

 

Вопрос: Что это за код? Как он попал и распространился на все сайты и файлы? Как его полностью убрать? Чем грозит? Как защитить сайты?

 

attachicon.gifБезымянный1.png

1. Что нужно сделать почистить свой комп от вирусов.

2. Сменить пароль от FTP соединение

3. Почистить шаблон от вредоносного кода.

4.Проверить базу данных на наличие стороннего кода.

Share this post


Link to post
Share on other sites

Сейчас сам мучаюсь с такой проблемой, ничего не помогает,

вирус появился снова, занимаются два программиста,

удалили, почистили, сменили, отключили- включили, НИЧЕГО НЕ ПОМОГАЕТ.

Share this post


Link to post
Share on other sites

Ищите дату (смотрите логи), когда появился данный код и по возможности делаете бэкап "чистых" сайтов (но не восстанавливайте сразу), 

данный код будет заново прописываться во все файлы php формата (до определенного уровня вложенности), пока вы его везде не удалите (также могут присутствовать левые php файлы - содержать код вируса). 

 

В любом случае надо искать дыру в одном из ваших сайтов (чаще всего это какие то плагины). 

 

В данный момент можно запретить распространение вируса закрытием доступа ко всем файлам директории - закройте права (разрешения) на запись всех файлов (Oct: 0555 (r-xr-xr-x) или 0544). Но при этом на самих сайтах некоторый функционал станет недоступен (например регистрация пользователей).

 

А пароли - везде меняйте.

Буквально на днях лечил подобную проблему. Фишка вируса в том, что он сам себя дублирует в разных файлах, при обращении к нему. Порядок был примерно такой:

- отключили весь сайт

- Вордпресс переписали с нуля.

- удалили все модификации вируса

- закрыли все дыры,поменяли пароли, обновили плагины, почистили тему

 

Кто не может сам справиться, помогаю лечить такие недуги. Особенно на ВП.

Share this post


Link to post
Share on other sites

У меня на сайт клиента таким же образом какие-то типы уже 6 раз залазили и ломали. все выщеуказанные действия делал. в Итоге их лазейкой был слайдер для ВП revislider. Месяц 2 назад в сети читал инфу, что на многие сайты именно через плагин для слайдера попадали. Дырявые они)

Share this post


Link to post
Share on other sites

Сейчас сам мучаюсь с такой проблемой, ничего не помогает,

вирус появился снова, занимаются два программиста,

удалили, почистили, сменили, отключили- включили, НИЧЕГО НЕ ПОМОГАЕТ.

Существует вероятность заражения сервера, тогда все ваши манипуляции ни к чему не приведут.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...