Что за зверь «yatr_scr» или «iframe yatr.ru»?

Question

[Михаил Добрый День]

Добрый день. Обнаружил в коде страницы кусок вида:

<iframe id="yatr_scr" src="https://yatr.ru/hp.html?wm=35506&amp;referrer=http://www.SITE.com/wp-login.php?redirect_to=http%3A%2F%2Fwww.SITE.com%2Fwp-admin%2F&amp;reauth=1" style="display: none;"></iframe>

Откуда мог взяться такой зверь? Всё что я нашел по нему, это ветка на СЕ.гуру о том, что это, цитирую, "Какая-то система Ястреб, которая определяет пользователей, которые интересовались определённой информацией, например - ноутбуками". Гугл выдал что это вообще что-то связанное с недвижкой, не моя тематика.

Подскажите, что за зверь? Как с ним побороться? И откуда он мог взяться?

Answer 1

[Павел Елизарьев]

Как Вы правильно заметили, - Вас взломали. Причем скорее всего автоматом. Такое могло произойти скорее всего одним из двух способов:

• Подобрали ваш пароль к админке / фтп / хостингу;
  
• Использовали уязвимость в компонентах вашего сайта;
  

Я бы действовал так:

1. Сохранил состояние сайта;
   
2. Используя логи нашел место вторжения;
   
3. Обновил все компоненты до последней версии;
   
4. Восстановился из бекапа и закрыл дырку;
   
5. Выполнил разностный анализ бекапа и текущего зараженного сайта для понимания того, какой код где добавился.
   

Описанные действия касаются не только файлов, но и базы данных, если таковая имеется.

А что за зверь именно этот код в iframe - не важно. Там может быть один из тысячи любых других способов заработать на взломанном сайте.

Comments

[Михаил Добрый День]

выяснилось что сторонний код попал вместе с мессенджером сайта. Исправлено