Феодосия - Санкт-Петербург

Grattis - партнерская программа по продаже голосовых поздравлений

Вирусы в шаблоне, проверяем файл functions.php

24.05.2018 | Рубрика: Дизайн и сайт| Просмотров: 449 Комментировать »
Добро пожаловать на блог системного администратора.

Всё руки не доходили, написать что нибудь новое, про свою работу. А тут хостер написал, что файлы появляются, на вирусы похожие. Глянул, и правда, полный бардак. Пришлось изучать проблему.

Между делом сайт перевёл на php 7, но что-то пошло не так, глюки какие-то. Пришлось вернуться на предыдущие. Пока лень разбираться, может потом, как нибудь.

Обновлялся один плагин, background-image-cropper, сам, принося вредоносные файлы:

/wp-content/plugins/background-image-cropper/image/ico/search.php : {HEX}gzbase64.inject.unclassed.15.UNOFFICIAL
/wp-content/plugins/background-image-cropper/image/ico/pas.php : PHP.HostComm.PHP.Webshell.i.0.UNOFFICIAL
/wp-content/plugins/background-image-cropper/image/ico/dump.php : {HEX}php.generic.malware.443.UNOFFICIAL
/wp-content/plugins/background-image-cropper/wp-post.php : {HEX}gzbase64.inject.unclassed.15.UNOFFICIAL

Обновил wordpress, плагины, перерыл полностью шаблон, на предмет непонятных скриптов. Удалил все неиспользуемые шаблоны. Поставил пару плагинов для поиска вредоносных вставок, таких как Anti-Malware Security and Brute-Force Firewall. Помогло. Подсказали файлы с вредоносным кодом. Что-то удалил, что-то почистил. Вручную перепроверил все картинки, часть оказалось файлами php с закодированным текстом. В общем целом увлекательное занятие  :-D

Рекомендую проверить свой файлик functions.php на наличие в нём следующих функций:

function _check_isactive_widgets
function _get_allwidgetscont
function_exists("stripos")
function_exists("strripos")
function_exists("scandir")
function _prepare_widgets
function __popular_posts
function _bloginfo($content)

При наличии  придётся изрядно попотеть. Просто удаление не поможет. Эта зараза добавляется во все темы в папке themes. Правда есть маленькая хитрость, поставить на этот файл атрибуты «только чтение». Но найти источник заразы по любому необходимо.

Ко всему прочему. После удаления кода необходимо поменять пароли на вход в админку. Потому как этот вредоносный код уже своровал ваш пароль. Вот такая вот зараза)

Если заметите какие-то глюки, напишите ;)

Ну и немного юмора, про компьютеры, которые тормозят и глючат:

Не доводите свои до такого состояния

 

Популярность: 1%

Пожалуйста, оцените эту статью.
1 Star2 Stars3 Stars4 Stars5 Stars (8 голосов, средний: 5,00 из 5)
Загрузка...

Понравилась статья? Поделитесь с друзьями!


Опубликовать в своем блоге livejournal.com Поделиться в Одноклассниках

Оставить комментарий

  • Рубрики