Добрый день, форумчане! Есть проблема: периодически в заголовок статьи дописывается вредоносный код. В результате на сайте появляется или кликандер, или всплывающее окно-мобильный редирект. Варианты: - кто-то из администраторов сайта дописывает код (если заголовок менять через кнопку свойства, то wordpress не засчитывает это как изменение статьи в редакторе). - кто-то подключается к серверу, а с сервера подключается к БД и встраивает вредоносный код через БД. Кто-нибудь сталкивался с подобным вирусом? Возможно ли отследить, пользователь с каким именем правил статью последним.
Если спецплагина нету - то только по логам сервера и то будет кто что делал на сайте или фтп. Если только правил статью - то никак (внизу стать последнее редактирование показывает и все). Но вы роете не вту степь, скорей у вас троян в коде или вобще взлом)) Взлом БД тоже возможен (посмотри что в базе записано и как)
Спасибо! Специалисты не смогли обнаружить вредоносный код на сервере. Нет внешнего подключения к БД, только локальное. Значит у кого-то есть доступ к серверу или я его-то не понимаю?)
1) 2) не хочу никого обидеть, но куда они смотрели?, что искали?, шел-файл или бин отдельный или весь код вордпреса перелопатили?- оочень сомневаюсь)) 3) Если код всей цмс чистый и сервер и ФТП не скомпроментированы то или бд или админка самого сайта была взломана))
В целом ревизиум пробежались, сказали, что вредоносного кода нет. Так если есть доступ к БД, то злоумышленники не подключаться, так как доступ именно с сервера. Может быть ФТП, может быть админка. Как тут поступить? Смена паролей?
что значит к бд не подключится? я знаю логин(юзера бд), пароль и адрес на котором пхпмайадмин висит- и я неподключусь к бд? - ну-ну))) , Если уверены, что чисто в коде, в БД и на сервере (хотя это очень редко бывает, что все проверили) - то на хостинге разрешение ток на 1 ип и меняете все пароли- хостинга, фтп, бд, админки. Но если троян остался или дырка не закрыта, то это непоможет, или не надолго))
Я уверен, что просто в одном из плагинов троян, который и делает правки, при чём в автоматическом режиме. Гарантировать, что заражённого кода нет, можно только пройдя по всем файлам текстовым поиском со всеми возможными ключевиками (часть из которых напрямую не указывает на вирус, а только на его вероятность, а потому нужно ещё каждый случай обнаружения разбирать). И второе условие - отсутствие кода под ИнонКубом или каком-то другом шифровальщике, потому что там закодировано может быть, что угодно и узнать, что именно - невозможно.
закрывайте доступ ко всем папкам на ФТП кроме wp-content. Сам не раз сталкивался с подобным действием. В function посмотрите названия файлов к которым общается вредонос и потом удаляйте их. Ну и конечно же поставьте плагин WP-Security. Это позволит хоть как-то обезопасить себя от повторных попаданий кода.
