Jump to content

Нужна помощь в решении проблемы


Recommended Posts

Подскажите что это за фигня такая, сегодня при редактировании текстов обнаружил что в КАЖДОЙ записи присутствует такой код <script src="//css.googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2"></script> проверка на вирусы ничего не дала, погуглил этот скрипт, вижу у многих такая проблема возникала, но толком никто не сказал что это за скрипт и как от него избавиться. Может кто-то из форумчан знает?

 

Сегодня неожиданно обнаружил, что часть записей пропала с сайта, сделал бекап, записи восстановил и вновь почистил БД от этого скрипта, и сного записи пропали, тут явная связь, может не стоит удалять этот скрипт, хотя везде говорят что этот скрипт вредоносный, хоть и не говорят какой именно веред он несет. Может кто сталкивался с этим, как решить этоту проблему. Сайт на WP.

Если тема создана в неподходящем разделе, прошу модераторов перенести в нужный раздел(не нашел на форуме раздела об уязвимостях)

Заранее спасибо.

Link to post
Share on other sites
  • VIP

Использовал рекомендации с этого сайта еще вчера, а сегодня пропала часть статей с сайта))) 

План действий:

1. Поменять пароли на хостинг, на FTP.

2. Восстановить бекап, поменять пароль на админку.

3. Поставить плагины защиты:

vituson.ru/pochemu-vozrosla-nagruzka-na-server

vituson.ru/nabor-plaginov-wordpress-dlya-zashhity-ot-xakerov

4. Удалить из записей бяку.

Link to post
Share on other sites
  • VIP

Плагины для защиты WP, которые ставлю на все свои сайты:

 

Acunetix WP Security

Anti-XSS attack

belavir (php MD5)

Disable XML-RPC Pingback

Wordpress Firewall 2

 

"Плюс" закрываю админку по IP и редактирую файл htaccess:

 

Содержание для файла .htaccess с блокировкой всякой дряни:

 

 

 

Options +FollowSymLinks -Indexes

<IfModule mod_headers.c>
  Header always append X-Frame-Options SAMEORIGIN
</IfModule>

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{query_string} concat.*\( [NC,OR]
RewriteCond %{query_string} union.*select.*\( [NC,OR]
RewriteCond %{query_string} union.*all.*select [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteCond %{REQUEST_URI} !^/index\.php
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule .* index.php [L]

<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
<ifmodule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_item_include file \.js$
mod_gzip_item_include file \.css$ </ifmodule>
</IfModule>

RewriteEngine on
RewriteCond %{HTTP_REFERER} semalt\.com [NC,OR]
RewriteCond %{HTTP_REFERER} success-seo\.com [NC,OR]
RewriteCond %{HTTP_REFERER} best-seo-solution\.com [NC,OR]
RewriteCond %{HTTP_REFERER} buttons-for-website\.com [NC,OR]
RewriteCond %{HTTP_REFERER} buttons-for-your-website\.com [NC,OR]
RewriteCond %{HTTP_REFERER} best-seo-offer\.com [NC,OR]
RewriteCond %{HTTP_REFERER} rankings-analytics\.com [NC,OR]
RewriteCond %{HTTP_USER_AGENT} .*MJ12bot.* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Java [OR]
RewriteCond %{HTTP_USER_AGENT} NjuiceBot [OR]
RewriteCond %{HTTP_USER_AGENT} Gigabot [OR]
RewriteCond %{HTTP_USER_AGENT} Baiduspider [OR]
RewriteCond %{HTTP_USER_AGENT} JS-Kit [OR]
RewriteCond %{HTTP_USER_AGENT} Voyager [OR]
RewriteCond %{HTTP_USER_AGENT} PostRank [OR]
RewriteCond %{HTTP_USER_AGENT} PycURL [OR]
RewriteCond %{HTTP_USER_AGENT} Aport [OR]
RewriteCond %{HTTP_USER_AGENT} DotBot [OR]
RewriteCond %{HTTP_USER_AGENT} SurveyBot [OR]
RewriteCond %{HTTP_USER_AGENT} larbin [OR]
RewriteCond %{HTTP_USER_AGENT} Butterfly [OR]
RewriteCond %{HTTP_USER_AGENT} libwww [OR]
RewriteCond %{HTTP_USER_AGENT} Wget [OR]
RewriteCond %{HTTP_USER_AGENT} SWeb [OR]
RewriteCond %{HTTP_USER_AGENT} LinkExchanger [OR]
RewriteCond %{HTTP_USER_AGENT} Soup [OR]
RewriteCond %{HTTP_USER_AGENT} WordPress [OR]
RewriteCond %{HTTP_USER_AGENT} spbot [OR]
RewriteCond %{HTTP_USER_AGENT} MLBot [OR]
RewriteCond %{HTTP_USER_AGENT} InternetSeer [OR]
RewriteCond %{HTTP_USER_AGENT} FairShare [OR]
RewriteCond %{HTTP_USER_AGENT} Yeti [OR]
RewriteCond %{HTTP_USER_AGENT} Birubot [OR]
RewriteCond %{HTTP_USER_AGENT} YottosBot [OR]
RewriteCond %{HTTP_USER_AGENT} gold\ crawler [OR]
RewriteCond %{HTTP_USER_AGENT} Linguee [OR]
RewriteCond %{HTTP_USER_AGENT} Ezooms [OR]
RewriteCond %{HTTP_USER_AGENT} lwp-trivial [OR]
RewriteCond %{HTTP_USER_AGENT} Purebot [OR]
RewriteCond %{HTTP_USER_AGENT} User-Agent [OR]
RewriteCond %{HTTP_USER_AGENT} kmSearchBot [OR]
RewriteCond %{HTTP_USER_AGENT} SiteBot [OR]
RewriteCond %{HTTP_USER_AGENT} CamontSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ptd-crawler [OR]
RewriteCond %{HTTP_USER_AGENT} HTTrack [OR]
RewriteCond %{HTTP_USER_AGENT} suggybot [OR]
RewriteCond %{HTTP_USER_AGENT} ttCrawler [OR]
RewriteCond %{HTTP_USER_AGENT} Nutch [OR]
RewriteCond %{HTTP_USER_AGENT} msnbot [OR]
RewriteCond %{HTTP_USER_AGENT} msnbot-media [OR]
RewriteCond %{HTTP_USER_AGENT} Slurp [OR]
RewriteCond %{HTTP_USER_AGENT} Zeus
RewriteRule ^(.*)$ – [F,L]

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

<files .htaccess>
order allow,deny
deny from all
</files>

<files wp-config.php>
order allow,deny
deny from all
</files>

SetEnvIf user-agent "Indy Library" stayout=1
SetEnvIf user-agent "libwww-perl" stayout=1
SetEnvIf user-agent "Wget" stayout=1
deny from env=stayout

<IfModule mod_headers.c>
<FilesMatch "\.(js|css|xml|gz)$">
Header append Vary: Accept-Encoding
</FilesMatch>
</IfModule>

<IfModule mod_security.c>
<Files async-upload.php>
SecFilterEngine Off
SecFilterScanPOST Off
</Files>
</IfModule>
<IfModule mod_security.c>
<Files upload.php>
SecFilterEngine Off
SecFilterScanPOST Off
</Files>
</IfModule>

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Link to post
Share on other sites

План действий:

1. Поменять пароли на хостинг, на FTP.

2. Восстановить бекап, поменять пароль на админку.

3. Поставить плагины защиты:

vituson.ru/pochemu-vozrosla-nagruzka-na-server

vituson.ru/nabor-plaginov-wordpress-dlya-zashhity-ot-xakerov

4. Удалить из записей бяку.

Пароли менял и на админ панель сайта, на админку хостинга, и на фтп, и бекап делал, и бяку чистил сначало вручную, потом надоело, вычистил из БД, а сегодня обнаружил что части статей на сайте нет( даже само количество статей, в "опубликованных" меньше, сделал бекап, статьи вернулись, вычистил бяку еще раз, статьи пропали. Вот сейчас думаю что делать дальше, по-любому бекап, но сначало нужно решить вопрос со скриптом, что это за байда такая? если действительно безобидная вещь, вроде вывода шрифтов гугла, как считают некоторые, то и хрен с ней, а если что-то серьезное, надо сначало с этим разобраться. Писал хостеру, он пишет что сам не в курсе и всю инфу по этому скрипту сам искал в инете.(реальный ответ хостера. SPRINTHOSTкстати)

Link to post
Share on other sites

ну вообще код похож на вызов шрифтов гугла, только как то прописан странно, не, это не вирус

в том то и дело, что похож, это как раз таки очень похоже на вирус, смотрим домен css.googleaps.ru , хоть раз такой видели у гугла ?

Link to post
Share on other sites

Пароли менял и на админ панель сайта, на админку хостинга, и на фтп, и бекап делал, и бяку чистил сначало вручную, потом надоело, вычистил из БД, а сегодня обнаружил что части статей на сайте нет( даже само количество статей, в "опубликованных" меньше, сделал бекап, статьи вернулись, вычистил бяку еще раз, статьи пропали. Вот сейчас думаю что делать дальше, по-любому бекап, но сначало нужно решить вопрос со скриптом, что это за байда такая? если действительно безобидная вещь, вроде вывода шрифтов гугла, как считают некоторые, то и хрен с ней, а если что-то серьезное, надо сначало с этим разобраться. Писал хостеру, он пишет что сам не в курсе и всю инфу по этому скрипту сам искал в инете.(реальный ответ хостера. SPRINTHOSTкстати)

анализируйте access и error логи по вашему сайту, смотрите через какие файлы получили доступ, возможно где-то не правильно выставлены права

Link to post
Share on other sites

анализируйте access и error логи по вашему сайту, смотрите через какие файлы получили доступ, возможно где-то не правильно выставлены права

По этому поводу хостер говорит что этот скрипт проник через уязвимость в WP версии ранее 4.2.1(в 4.2.1. дыру закрыли, у меня стоит версия 4.6.1)

Link to post
Share on other sites
  • VIP

Как по мне, так это похоже на ссылку на загрузку внешнего шрифта.

А вирусы скорее всего появляются от использования варезных шаблонов и компонентов (хотя может в вашем случае это не так)

Link to post
Share on other sites

Как по мне, так это похоже на ссылку на загрузку внешнего шрифта.

А вирусы скорее всего появляются от использования варезных шаблонов и компонентов (хотя может в вашем случае это не так)

Фиг его знает что это такое, особых проблем он не доставлял, с помощью хостера удалил эту фигню из БД, подожду недельку посмотрим что получиться, пока что единственным положительным эффектом стало небольшое увеличение скорости загрузки страниц.

Link to post
Share on other sites

В случае заражения WP мы делаем так:

1. Меняем все пароли (панель хостинга, FTP, БД, админка) на сложные

2. Сносим весь WP за исключением папки wp-content и файла wp-config

3. Распаковываем скачанную с оф. сайта последнюю версию WP, предварительно удалив из дистрибутива папку wp-content

4. Меняем путь к админке (можно нагуглить, как)

5. Прогоняем проверку с помощью скрипта ai-bolit в режиме "параноидальный"

Так же добавлю, что уязвимости в ВП в основном своем со стороны плагинов. Практически всегда это плагин от каких-то непонятных деятелей.

Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...