Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Дыра в WP? Ссылки в точках (в статьях) (https://forum.antichat.xyz/showthread.php?t=316720)

rzee 02.02.2012 06:51
Здравствуйте. Извиняюсь, если не в том разделе, но по CMS подумал, что здесь.

Возможно кто знает или сталкивался, или подскажет где искать?

Скачал шаблон, удалил все закодированные и непонятные иероглифы, почистил все что можно, проверил ТАС, поставил WP-NoRef, начал наполнять пару дней назад.... Сегодня проверяю накиданые за вчера статьи и удивляюсь тому, что в тексте, а именно в точках левые ссылки

http://s013.radikal.ru/i325/1202/95/ff4cfcfbd197.jpg

смотрю исходный код

http://s017.radikal.ru/i432/1202/37/8d67eb4bae46.jpg

иду в редактор статьи, но там ни чего не обнаруживаю. Самое интересное, что, после нажатия на точку открывается тот сайт, но при обновлении статьи ссылки в точках пропадают.

Как я уже сказал, ссылки пропадают после обновления страницы и вчера вечером ни чего уже не было, но сегодня снова они появились и опять в точках. Если в статье удалить тут точку, где появляется ссылка, то ссылка перемещается на другую.

Возможно проблемы была и до замены шаблона, но в течении нескольких месяцев за сайтом не смотрел и подобного (вроде) не замечал)

Так же был поставлен плагин "WordPress File Monitor" который сообщает о каких либо изменениях в статьях/файлах, но он ни как не реагирует на появление ссылок и действия на сайте, если вообще таковые происходят из вне.

Буду очень благодарен кто поможет с решением проблемы и даже готов отблагодарить финансово.

stfox 02.02.2012 16:16
проверь function.php, скорее всего там идет подмена

rzee 02.02.2012 18:43
Цитата:
Сообщение от stfox
проверь function.php, скорее всего там идет подмена
Насколько знаний хватило, проверил... мож чего не вижу?

не могу вставить код....

http://zalil.ru/32630205

Ereee 02.02.2012 18:58
Цитата:
Сообщение от None
egrep -H "lismash" `find . -type f -name "*.php" -print`
egrep -H "base64_decode\(" `find . -type f -name "*.php" -print`
не?!

rzee 02.02.2012 19:25
Цитата:
Сообщение от Ereee
не?!
этих строк нет в файле, который я залил для просмотра

Ereee 02.02.2012 19:28
Цитата:
Сообщение от rzee
этих строк нет в файле, который я залил для просмотра
Нет, я не про это. Я дал вам две строки, которые нужно вписать в консоль и выполнить. Эти две команды покажут возможное местоположение файла с вредоносным кодом. Залейте скрипт WSO через FTP, зайдите в него через веб, Console => те две команды, поочередно. После, если не отключены системные команды, то все выяснится.

rzee 02.02.2012 19:37
Цитата:
Сообщение от Ereee
Нет, я не про это. Я дал вам две строки, которые нужно вписать в консоль и выполнить. Эти две команды покажут возможное местоположение файла с вредоносным кодом. Залейте скрипт WSO через FTP, зайдите в него через веб, Console => те две команды, поочередно. После, если не отключены системные команды, то все выяснится.
Спасибо. Пойду гуглить как это делается... Не подскажите, где мануальчик найти лучше и качнуть этот скрипт?

rzee 02.02.2012 20:50
По части того, что написал уважаемый Ereee, я не смог проверить, т.к. в подобных делах - 0... просто опасаюсь, что залью чего не того или чего намудрю, что возникнет еще больше вопросов...

По части вредоносного кода нашел рекомендацию на ai-bolit.php, который выдает список (возможно) зараженных файлов... запустив команду со скриптом ни чего выявлено не было.

Может быть есть что то простое как то, что привел выше, но надежнее показывает?

z0mbyak 02.02.2012 20:55
Проще всего будет переставить WP на новый) снеси весь двиг, и поставь новый, оставь только файл конфигурации и шаблоны (проверь шабы, кстати).

Если нет бэкдора в БД и сервак не порутан, то проблему ты решишь)

Ereee 02.02.2012 20:57
Дай FTP-доступ. Мигом уберу.


Время: 00:21