WEBLEDI.RUВебледи Форум успешных женщин-вебмастеров
04 Декабрь 2016, 22:23:00 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Правила Реклама
 
5
10
15
Свежие ответы
Ищу копирайтера на постоянную работу. Тематика: цветы, сад, огород от Violet-Lady (Ищу копирайтера, редактора, контент-менеджера)
Re: Интересные статьи из буржунета (переводы) + Рерайтинг + Копирайтинг от semnat (Контент, копирайтинг, переводы)
Re: Партнерка Vsemayki.ru - 25% с продаж. Отличный конверт 1 к 20 от vsemaykiadmin (CPA-сети)
Доска объявлений версии 2.2 от Diana101 (Сайты)
Re: Дизайн от новичка от LanaSvetNik (Дизайн)
Онлайн-консультант Jivosite со скидкой до 20% от KeyWebRu (Хостинг)
Создать тест-опрос в Гугл Документах (или ваш вариант) от Anonyff (Работа и услуги)
Re: AdBean - Бобовая тизерная сеть. Новостные и товарные тизеры. До 90% отчислений! от AdBean (Реклама и доход)
Re: Подарю, продам или сдам в аренду домены от June (Домены)
Автоматизация Яндекс Директ + возврат 8% от рекламного бюджета. от Александр_26 (Полезное)
Re: Quick Sender - Комбайн для продвижения в ВКонтакте от Dima_Myrzich (Социальные сети)
Re: Марафон Спарта от Пузата - Почему я иду от Katelite (Обучение сайтостроению, SEO и заработку)
Re: Чистенький женский СДЛ. Размещение в авто от uckpa (Платное размещение статей и ссылок)
Re: [Анонс] Программа для группировки ключевых слов KeyAssort от KeyAssort (Сервисы и SEO программы)
Re: Имеют ли вес покупные ссылки при теперешних правилах Яндекса от Lina7 (Раскрутка сайтов в поисковиках)
Свежие темы
Показать ещё
  Печать  
Страниц: 1 2
Автор

Тема: Похоже на взлом?!  (Прочитано 4310 раз)

0 Пользователей и 1 Гость смотрят эту тему.
prostomama
Offline Offline

Пол: Женский
Сообщений: 27


Просмотр профиля WWW
« : 19 Октябрь 2011, 19:48:05 »

В блоге на каждой странице появились подоздрительные ссылки

Код:
Код:
<div style="display:none">
<a href="http://fibromyalgia-pain-symptoms.com/">fibromyalgia</a>
<a href="http://sciaticnervedamage.net/">sciatic nerve damage</a>
<a href="http://clusterheadache.info/">cluster headache</a>
<a href="http://relieve-headache-treatment.com/">headache</a>
<a href="http://glaucomaclinical.com/">glaucoma</a>
<a href="http://narrowangleglaucoma.info/">narrow angle glaucoma</a>
<a href="http://www.buyziagenonline.com/">buy ziagen</a>
<a href="http://rankexplorer.com">Poker Software</a>
<a href="http://www.fastpaydayloan24.com/">payday loan</a>
<a href="http://relieve-sciatic-pain.com/">sciatica</a>
<a href="http://www.paydayloans250.com/">payday loans</a>
<a href="http://newyork-travel-guide.com/">newyork travel</a>
<a href="http://buyezetimibe.com/">ezetimibe</a>
<a href="http://buycipro24.com/">buy cipro</a>
<a href="http://fibromyalgiasyndrome.org/">fibromyalgia syndrome</a>
</div>
Похоже на взлом. Проверила наличие скрытых ссылок в теме плагином TAC, просмотрела основные файлы single.php index.php - ничего лишнего.
Ума не приложу, что делать. Пароли конечно поменяла.

Помогите советом! Пожалуйста! Как их удалить?!
Записан
Valeriya
Offline Offline

Пол: Женский
Сообщений: 1582



Просмотр профиля
« Ответ #1 : 19 Октябрь 2011, 20:08:31 »

Посмотрите в файле футера
Записан
seiko
Offline Offline

Сообщений: 30


Просмотр профиля
« Ответ #2 : 19 Октябрь 2011, 20:40:03 »

Взлом и есть. Проще всего сделать так, как уже много раз советовали.
Удалите файлы WP и шаблона, а потом заново их перезалейте. У вас может просто прятаться какой-нибудь неприметный файлик вроде new-settings.php, который и вставляет эти ссылки.

Базу данных тоже можно просмотреть для успокоения совести. Посмотрите логи: если кто-то постоянно лезет откуда-нибудь с Алжира или Бразилии, заблокируйте ip или напишите хостеру.
Записан

prostomama
Offline Offline

Пол: Женский
Сообщений: 27


Просмотр профиля WWW
« Ответ #3 : 20 Октябрь 2011, 10:11:30 »

Спасибо огромное всем за помощь! WP переустанавливать не хочется. В июле у меня был взлом. И снова... ПРошлый раз переустанавливала WP, кучу времени убила.

Вирус вроде бы удалила. Он сидел тут:
public_html/wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img

Удалила все лишние файлы с этого каталога и ссылки на страничках пропали.
Записан
prostomama
Offline Offline

Пол: Женский
Сообщений: 27


Просмотр профиля WWW
« Ответ #4 : 20 Октябрь 2011, 10:16:14 »

Посмотрите логи: если кто-то постоянно лезет откуда-нибудь с Алжира или Бразилии, заблокируйте ip или напишите хостеру.

Простите за глупый вопрос, подскажите как посмотреть логи и как определить от куда (с алжира)
Записан
Annin
Нет ничего такого, на что нельзя было бы надеяться
Offline Offline

Пол: Женский
Сообщений: 2340



Просмотр профиля
« Ответ #5 : 20 Октябрь 2011, 15:21:57 »

WP переустанавливать не хочется.
Мой сайт тоже ломали 2 раза подряд, причем, я "отделалась" не только лишними ссылками, упала посещаемость в 3 раза, просели позиции и вдобавок ко всему закрыли тематическую рассылку от этого сайта, так как субскрайб обнаружил ссылки, ведущие на порносайты (хотя я этого в упор не увидела). Тоже в свое время не хотелось переустанавливать ВП и обновлять все, но это неизбежно и есть гарантия, что дальше будет все ок. Иначе вас взломают в третий раз, не дай боже. Советую прислушаться в целях дальнейшей безопасности вашего сайта.
Записан


Mazajka
Всё-равно свой сайт не брошу. потому что он ХОРОШИЙ!
Offline Offline

Пол: Женский
Сообщений: 7411


Уже и аватарку нельзя поставить, какую хочу...


Просмотр профиля
« Ответ #6 : 20 Октябрь 2011, 16:50:45 »

я руками чистила все файлики... две с лишним тысячи, но ссылка одна всего была в скрипте
Записан


seiko
Offline Offline

Сообщений: 30


Просмотр профиля
« Ответ #7 : 20 Октябрь 2011, 16:57:30 »

prostomama

Я бы вам снова посоветовал удалить и перезалить WP с шаблоном (предварительно сохранив каталог с картинками). Вирус вы не удалили. В каталоге (wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img), который вы почистили, скорее всего лежали картинки. Они у вас будут появляться снова и ссылки тоже.

Это очень похоже на массовое заражение сайтов на WP, которое летом описал Денис Синегубко. Его блог на английском: _http://blog.unmaskparasites.com/ но там все понятно. Взломаны тысячи сайтов на WP на разных хостингах. Он пишет, что хакеры, видимо, пользуются скриптом:
Цитировать
The hacked sites belong to different people and are hosted by different hosting providers. Other sites (both WP and non-WP) on the same servers are not affected. They are all WordPress blogs. Many of them are up-to-date (run the latest version of WordPress). So it’s neither a server-wide hack, nor an intrusion via stolen site credentials (otherwise we’d see many non-WP sites). At the same time, it is not a core WP hack. In my experience, this usually means that hackers used some backdoor script.

Вы удалили какие-то файлы, это вам точно не поможет, это не первопричина. Например, сервис _http://sitecheck.sucuri.net/scanner/ показывает, что сайт из вашего профиля заражен:
Цитировать
Malware found on javascript file:
<br />_http://www.вашсайт.com/wp-content/themes/Jasmin/menu/mootools-1.2.1-core-yc.js
var Va3dbaf37 = dujfyh5736fhhiky...страшный код

Возможно, что-то зловредное прячется еще. В шаблоне, каталогах WP, плагинах, БД...

Логи можно посмотреть в админке хостера, но если они длинные, лучше не тратить время.
« Последнее редактирование: 20 Октябрь 2011, 17:18:27 от seiko » Записан

Mazajka
Всё-равно свой сайт не брошу. потому что он ХОРОШИЙ!
Offline Offline

Пол: Женский
Сообщений: 7411


Уже и аватарку нельзя поставить, какую хочу...


Просмотр профиля
« Ответ #8 : 20 Октябрь 2011, 16:59:19 »

seiko, а посмотрите, плииз мой сайт, у меня всё удалилось или нет? если вы так невооруженным глазом видите. если не трудно, конечно, я вам в личку ссылку кину
Записан


seiko
Offline Offline

Сообщений: 30


Просмотр профиля
« Ответ #9 : 20 Октябрь 2011, 17:15:32 »

Mazajka
ТС удалила какие-то файлики, которые создает скрипт. А сам скрипт где-то остался.
Записан

prostomama
Offline Offline

Пол: Женский
Сообщений: 27


Просмотр профиля WWW
« Ответ #10 : 20 Октябрь 2011, 18:35:47 »

Мой сайт тоже ломали 2 раза подряд, причем, я "отделалась" не только лишними ссылками, упала посещаемость в 3 раза, просели позиции и вдобавок ко всему закрыли тематическую рассылку от этого сайта, так как субскрайб обнаружил ссылки, ведущие на порносайты (хотя я этого в упор не увидела). Тоже в свое время не хотелось переустанавливать ВП и обновлять все, но это неизбежно и есть гарантия, что дальше будет все ок. Иначе вас взломают в третий раз, не дай боже. Советую прислушаться в целях дальнейшей безопасности вашего сайта.

Первый раз я все переустановила с нуля. И опять взлом...
Записан
prostomama
Offline Offline

Пол: Женский
Сообщений: 27


Просмотр профиля WWW
« Ответ #11 : 20 Октябрь 2011, 18:41:52 »

prostomama

Вы удалили какие-то файлы, это вам точно не поможет, это не первопричина. Например, сервис _http://sitecheck.sucuri.net/scanner/ показывает, что сайт из вашего профиля заражен:
Возможно, что-то зловредное прячется еще. В шаблоне, каталогах WP, плагинах, БД...

seiko

Спасибо! Подскажите, в прошлый раз, когда я переустанавливала вордпрес я тему сначала скопировала с хостинга, а потом ее же перезалила на установленный вордпрес. Могли в теме "сидеть" скрипты?


 
Записан
seiko
Offline Offline

Сообщений: 30


Просмотр профиля
« Ответ #12 : 20 Октябрь 2011, 18:51:57 »

Подскажите, в прошлый раз, когда я переустанавливала вордпрес я тему сначала скопировала с хостинга, а потом ее же перезалила на установленный вордпрес. Могли в теме "сидеть" скрипты?
Да, могли скрываться где-то в каталогах или быть встроенными в файлы. Как вариант сама тема была изначально заражена (там, откуда вы ее брали). Или в теме есть уязвимость, которую нащупали хакеры. Летом писали про уязвимость с файлом thumb.php (timthumb.php), все сайты с такими файлами становятся мишенью. Про это говорили на всех форумах.

Понятно, что надо удалять WP и шаблон с хостинга, а не просто перезаписывать сверху.
Записан

prostomama
Offline Offline

Пол: Женский
Сообщений: 27


Просмотр профиля WWW
« Ответ #13 : 20 Октябрь 2011, 18:56:19 »

Летом писали про уязвимость с файлом thumb.php (timthumb.php), все сайты с такими файлами становятся мишенью. Про это говорили на всех форумах.Понятно, что надо удалять WP и шаблон с хостинга, а не просто перезаписывать сверху.

Да, я все удаляла, и копировала заново (но тему ту же).

Файлов timthumb.php в теме у меня нет, проверяла
Записан
prostomama
Offline Offline

Пол: Женский
Сообщений: 27


Просмотр профиля WWW
« Ответ #14 : 20 Октябрь 2011, 18:59:52 »

Кстати, прошлый раз сайт был сломан по другому. Ко всем моим ссылкам был привязан  параметр eba + какие-то очень тяжелые картинки, которые пожирали трафик с бешенной скоростью.

Теперь просто списком прописаны ссылки на каждой страницы.

И еще вопрос. Я почищу свои блоги (у меня их два на одном хостинге). Может ли этот вирус перебраться ко мне от моих соседей по хостингу?
Записан
Страниц: 1 2
  Печать  
 
Перейти в:  

| Sitemap