Вирус WordPress

Вирус WordPress

Вирус WordPress

В интернете несколько раз натыкался на обсуждение новой напасти.  На сайте появляется php шелл, также файлы swf, модифицируется один из js файлов — из него вызывается залитый на сайт js файл. Особенно это обидно, если ваше детище имеет ТИЦ. В Firebug видны запросы к сайту _http://_spraos_._pw_ (подчеркивания убрать). При этом видно, что отсылается логин и хеш пароля админа сайта. Кстати, если вдруг забыли пароль администратора — прочитайте, поможет.

В качестве лечения находим сам шелл. Для этого используем поиск по файлам с помощью Notepad++ (просто незаменимая программа). Ищем такую сигнатуру:

preg_replace("/.*/".'e',chr(101).chr(118).chr(97).chr(108).chr(40).chr(103).chr(122).chr(105).chr(110).chr(102).chr(108).chr(97).chr(116).chr(101).chr(40).chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101).chr(40).chr(39)

И удаляем найденный шелл.

Далее ищем модифицированный js файл. Как правило у него в самом конце добавлена строка

document.write("<scr"+"ipt src='тут путь к файлу'><"+"/script>")

Удаляем эту строку и внимательно смотрим на src (у меня там написано тут путь к файлу). Этот скрипт добавляет на сайт div с внедренным swf. В принципе, удалив сам js файл, указанный в src у нам swf не будет наносить вреда и можно этим ограничиться. Дело в том, что путь к swf в скрипте зашифрован.

Если же нужно удалить и swf, то открываем файл, указанный в src и перед строкой

var div = document.createElement('div');

вставляем строку

alert (counter);

Заходим на наш сайт (обновляем) и видим alert с адресом нужного нам swf. Удаляем его. Вирус WordPress удален.
Теперь обязательно меняем все пароли — на сайт, на ftp, к панели хостера, к базам mysql. Удачи в борьбе с напастями!

Меток нет. Похожие записи
Запись опубликована в рубрике WordPress. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>