Крым, Россия

Grattis - партнерская программа по продаже голосовых поздравлений

Вирусы в шаблоне, проверяем файл functions.php

24.05.2018 | Рубрика: Дизайн и сайт| Просмотров: 7231 Комментировать »
Добро пожаловать на блог системного администратора.

Всё руки не доходили, написать что нибудь новое, про свою работу. А тут хостер написал, что файлы появляются, на вирусы похожие. Глянул, и правда, полный бардак. Пришлось изучать проблему.

Между делом сайт перевёл на php 7, но что-то пошло не так, глюки какие-то. Пришлось вернуться на предыдущие. Пока лень разбираться, может потом, как нибудь.

Обновлялся один плагин, background-image-cropper, сам, принося вредоносные файлы:

/wp-content/plugins/background-image-cropper/image/ico/search.php : {HEX}gzbase64.inject.unclassed.15.UNOFFICIAL
/wp-content/plugins/background-image-cropper/image/ico/pas.php : PHP.HostComm.PHP.Webshell.i.0.UNOFFICIAL
/wp-content/plugins/background-image-cropper/image/ico/dump.php : {HEX}php.generic.malware.443.UNOFFICIAL
/wp-content/plugins/background-image-cropper/wp-post.php : {HEX}gzbase64.inject.unclassed.15.UNOFFICIAL

Обновил wordpress, плагины, перерыл полностью шаблон, на предмет непонятных скриптов. Удалил все неиспользуемые шаблоны. Поставил пару плагинов для поиска вредоносных вставок, таких как Anti-Malware Security and Brute-Force Firewall. Помогло. Подсказали файлы с вредоносным кодом. Что-то удалил, что-то почистил. Вручную перепроверил все картинки, часть оказалось файлами php с закодированным текстом. В общем целом увлекательное занятие  :-D

Рекомендую проверить свой файлик functions.php на наличие в нём следующих функций:

function _check_isactive_widgets
function _get_allwidgetscont
function_exists("stripos")
function_exists("strripos")
function_exists("scandir")
function _prepare_widgets
function __popular_posts
function _bloginfo($content)

При наличии  придётся изрядно попотеть. Просто удаление не поможет. Эта зараза добавляется во все темы в папке themes. Правда есть маленькая хитрость, поставить на этот файл атрибуты «только чтение». Но найти источник заразы по любому необходимо.

Ко всему прочему. После удаления кода необходимо поменять пароли на вход в админку. Потому как этот вредоносный код уже своровал ваш пароль. Вот такая вот зараза)

Если заметите какие-то глюки, напишите ;)

Ну и немного юмора, про компьютеры, которые тормозят и глючат:

Не доводите свои до такого состояния

 

Похожие записи:
  1. !Скрытая угроза в бесплатных шаблонах! Скрытые ссылки с Вашего сайта.
  2. Дизайн блога. Изучаем и учимся исправлять уже сделанное.
  3. Работаем с дизайном блога на своем компьютере. WEB сервер дома.
  4. Размышления о хостинге для сайта. Нужно ли менять провайдера.
  5. Откровениям системного администратора исполнилось 6 месяцев
Пожалуйста, оцените эту статью.
1 Star2 Stars3 Stars4 Stars5 Stars (10 голосов, средний: 5,00 из 5)
Загрузка...

В рубрике Дизайн и сайт

Метки: , ,

Вы можете подписаться на новые комментарии к этой записи по RSS 2.0 Feed. Вы можете оставить комментарий к записе. Возможность оставить trackback со своего сайта отсутствует.

Понравилась статья? Поделитесь с друзьями!


Опубликовать в своем блоге livejournal.com Поделиться в Одноклассниках

Комментарии к посту «Вирусы в шаблоне, проверяем файл functions.php»

2 комментария

Оставить комментарий
  1. Александр:
    18 апреля 2019 в 13:43

    Здравствуйте. Подскажите, что это за плагин background-image-cropper, какую он функцию выполняет на блоге. У меня тоже в нём оказался вирус, хостер написал на почту. Плагин снёс с и теперь мучаюсь с последствиями от него.

    Ответить

Оставить комментарий

  • Рубрики
    • Рейтинг@Mail.ru NNM-Club в TOR