Блог Мудрого Кота
Советы и уроки для вебмастера, монетизация сайта и немного о SEO
Главная - Мои заметки - Внимание! Массовое заражение WordPress блогов

Внимание! Массовое заражение WordPress блогов



внимание

Здравствуйте дорогие друзья.
Спешу сообщить вам очень важные новости, в январе этого года началось массовое заражение WordPress блогов вирусом JS:Redirector-MR [Trj].

Как вы поняли из названия вируса: он осуществляет перенаправления пользователей вашего блога на другие сайты.
Причём на него реагирует, только один антивирус – Avast. Но это пока, что!

Итак, пока поисковые системы, а так же более крупные антивирусы, например Kaspersky, не обновили свои базы и наши сайты не начали терять драгоценных пользователей, пора принимать меры!

Для того чтобы проверить есть ли эта пакость на вашем сайте нам нужно будет сделать следующее:

Переходим в файл функций вашей темы functions.php, и в самом низу вас ожидает вот такой вот сюрприз:

JS:Redirector-MR [Trj]

Если этого кода нет, то радуйтесь, а если есть, то поздравляю — ваш сайт заражён!
Но вернёмся к коду:

Это тот самый JS:Redirector-MR [Trj], удаляем этот код и всё – ваш блог исцелён.
Теперь идём сюда:

Antivirus-alarm.ru

Вводим адрес вашего блога, ждём 10 минут, и смотрим, нет ли в вашем детище ещё какой либо пакости.

Ну вот и всё, пост короткий так как написан в попыхах. Но главную мысль я до вас донёс, теперь внимание:
Если вы обнаружили на своём сайте такой вирус, то обязательно поведайте вашим читателям об этой заразе.

Всегда ваш Мудрый Кот.


Подпишись и получай новые записи первым!

Подписаться вы можете с помощью или , но самый удобный способ это:

Ещё по теме:
Итоги 2-х конкурсов + немного новостей
Как пройти идентификацию в WebMoney и Яндекс.Деньги + (как это сделать до 18)
Немного о планах: на блог и мою жизнь
Как «оживить» блог созданный под продажные ссылки
Купил DLE. Пишу мои первые впечатления
Информация о статье:
Опубликовано: 10 января 2012, в рубрику Мои заметки.
Теги: .

Поделись статьёй с друзьями:

Оставляя комментарий - вы автоматически принимаете участие в конкурсе комментаторов, и имеете возможность выиграть очень, классные призы!
I место - Сквозняк!
II место - Заметка!
III место - 200 Рублей!
Подробнее о конкурсе тут.

Оставь коммент, не будь бякой!

  • alextm594
    10.01.2012

    Эх, пользуйтесь менее популярными CMS, и да прибудет с вами безопасность.

    [Ответить]

    Мудрый Кот ответил(а):

    никто не застрахован :-x

    [Ответить]

    alextm594 ответил(а):

    Алсо, хороший хост — залог успеха. Тут делал это и-магазан, (читатели в курсе), на хостинге клиент даже cpanel нет, что напрягает…

    [Ответить]

  • Александра
    10.01.2012

    подсознание кричит: опасность детектед ><

    после этого поста боюсь нажимать на ссылку
    Antivirus-alarm.ru
    :lol:

    [Ответить]

  • др.Касперский
    10.01.2012

    А где дырка? Вообще не ставьте на всю папку прессворда :-o права 777, а то ведь находятся кадры, которые разрешают всему рунету писАть в свои скрипты. Курить надо маны по распредлению прав, и там, где только возможно, оставлять права только на чтение.
    Но это поверхностный, так сказать, взгляд админа.
    И как насчёт апдейтов, закрывающих дыру?

    ps: что-то глючит отправка комментария

    [Ответить]

    Мудрый Кот ответил(а):

    Скорее всего, вирь через хостинги запустили, но всё равно ждём обновлений cms.
    Насчёт прав спасибо, пойду сейчас почитаю что там да как, а насчёт комментариев не знаю у меня всё вроде в порядке :?:

    [Ответить]

    др. Веб ответил(а):

    У меня вчера такие же глюки были на хостинге. Это у немцев что-то подлагивало)

    [Ответить]

  • LaY_zzz
    10.01.2012

    как он вообще может попасть на сайт?

    [Ответить]

    Мудрый Кот ответил(а):

    способов куча, начиная с дырявой cms и заканчивая косяками со стороны хостинга 8)

    [Ответить]

  • Ночной_Блоггер (Sergio)
    10.01.2012

    Спасибо, полезно =) Я чист =)

    [Ответить]

  • Антон
    10.01.2012

    Фигасе новости… Этого вируса слава Богу не обнаружил, ща тестю бложик Авастом :arrow:

    [Ответить]

  • mishuta2011
    10.01.2012

    Хух :lol: Меня бог миловал :!: Возможно потому, что в этом году еще постов небыло. Спасибо за предупреждение — буду во всеоружии :-x
    Вопрос не по теме — смайлики Ваши или можно где в сети разжится, очень они под кошачьи блоги подходят :-D

    [Ответить]

    Мудрый Кот ответил(а):

    http://radiokot.ru/

    [Ответить]

  • kladez-zolota
    10.01.2012

    Мой антивирус орал, как резанный, когда пыталась зайти к тебе.

    [Ответить]

  • kladez-zolota
    10.01.2012

    Пошла обследовать свои блоги. Спасибо!

    [Ответить]

  • Александра
    10.01.2012

    Странно, вторая запись, что антивирус разрывается. А вот мои молчит. Проверила на ноуте-тоже тишина.

    [Ответить]

    kladez-zolota ответил(а):

    Сегодня нормально, а вот два дня зада так и было.

    [Ответить]

  • seo-самурай
    11.01.2012

    была у меня такая хня на бесплатном хостинге мегабиет.нет. Ушёл я оттуда. Конечно эта зараза через хостинг попадает.

    [Ответить]

  • Путин гуляет с доберманом
    11.01.2012

    Интересно, а как это сделать через хостинг?
    Предположим, где-то выцепили доступ, хотя тут нужен root, а он, как правило, защищён. Получив рута стали заниматься такой ерундой, когда можно наделать дел намного масштабнее (массовая рассылка, дорвеи, промежуточный хост для атак и т.д.).

    Остаётся дыра в движке. Где-то можно заинклудить js. Кстати у меня тут напрочь сайт упал на wp, чувствую там что-то серьёзное.

    [Ответить]

    seo-самурай ответил(а):

    Вот, не знаю где взял, но забей в поиск может найдёшь оригинал:
    1. Хакеры взламывают один из сайтов на сервере (чаще воруют пароли FTP) и загружают туда backdoor скрипт – PHP файл, который выполняет зашифрованный команды присланные в параметрах POST-запроса.
    2. Дальше этот скрипт запускает бинарный файл, который (скорее всего) перехватывает сетевое соединение запустившего его процесса апача, и в дальнейшем притворяется обычным апачем и обрабатывает входящие запросы (на все сайты), возвращая вредоносный ответ. Так как этот процесс “замещает” лишь один из дочерних процессов апача, то вредоносные ответы возвращаются лишь на часть запросов. К тому же через какое-то время этот процесс отмирает и вредоносные ответы пропадают до следующей активации скрипта.

    Чтоб найти backdoor скрипт, нужно
    1. просканировать весь сервер (все клиентские директории) на предмет PHP кода, который использует конструкцию eval(base64_decode(.. (правда в последнее время её стали шифровать)
    2. Проверить логи апача (для всех сайтов) на предмет подозрительных POST запросов. Проверьте файлы, к которым идут эти запросы.

    [Ответить]

    Путин гуляет с доберманом ответил(а):

    Так это что за хостинг, где можно управлять апачем?))
    Не представляю, что бы с фтп из под юзера можно было запустить демона.
    Это наверное вин-сервак, тогда понятно.
    В общем, не перевелись на Руси криворукие админы.
    Я вот 2.5 дня бана схватил просто за включенный дебаг в движке.
    С таким хостером думаю 3 раза, прежде чем что-то сделать.

    [Ответить]

    >=AB0=B8= ответил(а):

    У меня в инет-магазине тоже заражение началось с возникновения в индексном файле такой-вот бяки:

    (Мудрый Кот удалил код ибо не нужны нам коды вирей в комментах =Р)

    Я не программист, но, видать это та же хрень!

    [Ответить]

  • NMitra
    11.01.2012

    Я тоже не могла зайти. Да, ругался Аваст. Я предполагала, что взломать можно только панель админа, или самому занести какую-нибудь дрянь через сторонние скрипты. А тут…

    Мне такие проблемы не светят — Blogger защищает Гугл, а домен припаркован на бесплатном хостинге Яндекса. Эти «монстры» должны защитить.

    [Ответить]

    Мудрый Кот ответил(а):

    Должны :-x

    [Ответить]

    Доберман гуляет с путиным ответил(а):

    Ага, так защищают, что у некоторых областей доступ отрубили к блогспот.ком без всяких разговоров, а так всё в порядке :wink: .

    [Ответить]

    NMitra ответил(а):

    Подробнее :roll: На ум только robots.txt приходит

    [Ответить]

    Доберман гуляет с путиным ответил(а):

    Ну вы же сами слышали, как толпа расвирепевших юзеров везде писала,
    что не могут попасть на свой блог. Через два дня их пустили.
    А ещё с форума помню несчастных казахов и армян, кторым тоже нельзя.

    [Ответить]

    NMitra ответил(а):

    Это прошло мимо меня. Были проблемы с входом в редактор шаблонов HTML, но больше вроде читатели ни на что не жаловались. Я на форумах не частый гость. Может технические ошибки какие, но в большинстве случаев пользователи сами меняют код, но не совсем корректно.

    А почему казахам и армянам нельзя-то? Есть официальная инфо?

    [Ответить]

    Доберман гуляет с путиным ответил(а):

    Про Казахстан было написано, что им официально ограничивали доступ.
    А про армян знаю только от пользователей.
    Да, ещё была информация, но не подтверждённая, что гугл ограничил в доступе ряд подсетей, якобы из-за дос-атак.

    [Ответить]

    NMitra ответил(а):

    Насколько я понимаю, здесь нет инициативы Гугла. Блокировку осуществляет их провайдер — http://www.fateyev.com/ru/blog/2010/prostaja_razblokirovka_livejournal_i_blogger.com . Похожай история была с Китаем в своё время.

    [Ответить]

    Путин гуляет с доберманом ответил(а):

    Хе-хе, да моего провайдера гугл начисто банил.
    Мне даже поиск не был доступен, о чём я плакался в блоге несколько раз: ввод капчи и бан :lol:
    Сколько я не общался с другими админами, все в один голос утверждали, что никогда не перекрывали доступ к сервисам гугла, это невозможно, народ порвёт, как грелку.. за такие вещи.

    [Ответить]

  • seoeffector
    11.01.2012

    Была похожая ситуация, но скрипт немного другой, узнал только когда пришло письмо от яндекса что типа на вашем сайте имеются вредоносный код удалите его.

    [Ответить]

  • Иван
    11.01.2012

    спасибо
    проверился — все гуд! не подскажешь откуда известно стало о вирусе?

    [Ответить]

    Мудрый Кот ответил(а):

    тут очень долгий путь о том как я узнал, поэтому писат смысла нет но если коротко:
    из блогосферы

    [Ответить]

  • Иван
    11.01.2012

    :lol: как я не догадался!

    [Ответить]

  • Роман
    12.01.2012

    Я тоже это замечал,думал глюк.

    [Ответить]

  • seo-самурай
    12.01.2012

    Ничего этот сервис не проверил, денег просит. Ага, сейчас, разбежался :)

    [Ответить]

    Мудрый Кот ответил(а):

    Странно у меня не просит)

    [Ответить]

    seo-самурай ответил(а):

    колёсико крутится уже третий день и ничего не показывает, я взял и зарегился (подумал может нужно), а там уже просят пополнить счёт. 100р в месяц за мониторинг сайта.

    [Ответить]

  • Ильшат
    14.01.2012

    Надеюсь эта зараза ко мне не попадет)

    [Ответить]

  • Roman
    15.01.2012

    :wink: Только что по этому посту избавился от этого уродливого вируса, сейчас провожу проверку, Надо хост потрясти че у них там за ху …. ня.

    [Ответить]

  • Aleks
    18.01.2012

    Фух, мой сайт чист, ничего подобного не нашел)

    [Ответить]

  • Раиса
    15.02.2012

    Я нашла на своем сайте такой код, удалила, неделю было нормально.Сегодня опять сказали,что вирусы, я конечно удалю. И что, это будет длиться бесконечно? Что делать чтобы обезопасить сайт? Подскажите.

    [Ответить]

  • webmaster
    07.03.2012

    Что вы пристали к хостингу. Какие то фантастичные способы заражения приводите. Вирусописателей такие не интересуют. Им нужна пандемия. Она достигается только лишь простыми способами. Бойтесь 2-х из них:
    1. Уязвимость в движке. Злоумышленнику удается записать в базу вредоносный html, который отображается на странице. Или вообще изменить файл. Это взлом по полному. Возможен когда на хостинге web-пользователь не выделен.
    2. На зараженном компьютере вирус сканит сохраненные пароли клиентов FTP. С этого же компа подключается по FTP, сканит файлы и заражает нужные.

    Профилактика 1-го. Обновляйтесь почаще.
    2-го. Не храните пароли в клиентах. С любого клиента можно выдернуть пароль! Используйте .ftpaccess. С помощью него можно разрешить доступ только с определенного IP или от определенного инет-провайдера. А еще лучше блокируйте FTP на хостинге. Используйте SSH+WinSCP. Пока нет вирусов работающих по SSH. К тому же работать с SSH+WinSCP в 10 раз приятнее, быстрее и стабильнее, чем Total Commander+FTP

    [Ответить]

  • primkray
    04.04.2012

    У меня Avast обнаруживает в wp-includes\js\comment-reply.js
    Хотя при открытии файла в блокноте кода не вижу.

    [Ответить]

  • alf2011
    17.04.2012

    У меня эта зараза появилась в начале недели 8-O Его по прежнему берет только аваст :) Яндекс прислал письмо с уведомлением о вирусе и сразу вспомнилось, что в закладках пост на эту тему от Мудрого кота :lol: Вредоносной код был где описано. Удаляю, проверяю — сайт чистый. Посылаю яндексу письмо с просьбой перепроверить сайт, а через три дня получаю письмо, что сайт опять заражен :?: Это, что теперь каждый день эту гадость удалять прийдется :-|

    [Ответить]

  • Miroslavs
    24.04.2012

    Мне кажется пакости бывают еще из-за хостера. У меня вирусы были на сайтах, а потом оказалось. что весь сервер был заражен. Пользуйтесь проверенными хостерами, а лучше VPS :-x

    [Ответить]

  • Miroslavs
    24.04.2012

    офигеть!! только что был уверен что у меня все хорошо, проверил сайты.. один с этой заразой. Спасибо! 8-O

    [Ответить]

  • Miroslavs
    24.04.2012

    ага.. кеш надо чистить,перед тем как второй раз проверять, а то я подумал что ничего не получилось :arrow:

    [Ответить]

  • Miroslavs
    24.04.2012

    Извините конечно за флуд, но поделюсь ссылочкой, как я у себя в блоге рассказал про вирус на WOrdPress и вас упомянул/

    PS У вас красивый и интересный сайт. Приятно читать.

    [Ответить]



:wink: :twisted: :roll: :oops: :lol: :evil: :cry: :arrow: :?: :-| :-x :-o :-P :-D :-? :) :( :!: 8-O 8)

*


Подпишись на обновления блога:

RSS    twitter    e-mail


185 подписчиков

232 фолловера

Бесплатный курс "от Кота":



Подробно:

Как создать сайт с онлайн фильмами
Как создать сайт с онлайн фильмами
Создание

Раскрутка

Монетизация



Как создать шаблон и дизайн для сайта
Как создать шаблон и дизайн для сайта
Макет

Разметка

Вёрстка



Я читаю:

Записки ночного блогера
Blogger.omg-linux
Miroslavs