HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу Дыра в WP? Ссылки в точках (в статьях)
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 02.02.2012, 06:51
rzee
Guest
Сообщений: n/a
Провел на форуме:
2130

Репутация: 0
По умолчанию
Здравствуйте. Извиняюсь, если не в том разделе, но по CMS подумал, что здесь.

Возможно кто знает или сталкивался, или подскажет где искать?

Скачал шаблон, удалил все закодированные и непонятные иероглифы, почистил все что можно, проверил ТАС, поставил WP-NoRef, начал наполнять пару дней назад.... Сегодня проверяю накиданые за вчера статьи и удивляюсь тому, что в тексте, а именно в точках левые ссылки



смотрю исходный код



иду в редактор статьи, но там ни чего не обнаруживаю. Самое интересное, что, после нажатия на точку открывается тот сайт, но при обновлении статьи ссылки в точках пропадают.

Как я уже сказал, ссылки пропадают после обновления страницы и вчера вечером ни чего уже не было, но сегодня снова они появились и опять в точках. Если в статье удалить тут точку, где появляется ссылка, то ссылка перемещается на другую.

Возможно проблемы была и до замены шаблона, но в течении нескольких месяцев за сайтом не смотрел и подобного (вроде) не замечал)

Так же был поставлен плагин "WordPress File Monitor" который сообщает о каких либо изменениях в статьях/файлах, но он ни как не реагирует на появление ссылок и действия на сайте, если вообще таковые происходят из вне.

Буду очень благодарен кто поможет с решением проблемы и даже готов отблагодарить финансово.
 
Ответить с цитированием

  #2  
Старый 02.02.2012, 16:16
stfox
Guest
Сообщений: n/a
Провел на форуме:
2900

Репутация: 0
По умолчанию
проверь function.php, скорее всего там идет подмена
 
Ответить с цитированием

  #3  
Старый 02.02.2012, 18:43
rzee
Guest
Сообщений: n/a
Провел на форуме:
2130

Репутация: 0
По умолчанию
Цитата:
Сообщение от stfox  
stfox said:
проверь function.php, скорее всего там идет подмена
Насколько знаний хватило, проверил... мож чего не вижу?

не могу вставить код....

http://zalil.ru/32630205
 
Ответить с цитированием

  #4  
Старый 02.02.2012, 18:58
Ereee
Guest
Сообщений: n/a
Провел на форуме:
102354

Репутация: 267
По умолчанию
Цитата:
Сообщение от None  
egrep -H "lismash" `find . -type f -name "*.php" -print`
egrep -H "base64_decode\(" `find . -type f -name "*.php" -print`
не?!
 
Ответить с цитированием

  #5  
Старый 02.02.2012, 19:25
rzee
Guest
Сообщений: n/a
Провел на форуме:
2130

Репутация: 0
По умолчанию
Цитата:
Сообщение от Ereee  
Ereee said:
не?!
этих строк нет в файле, который я залил для просмотра
 
Ответить с цитированием

  #6  
Старый 02.02.2012, 19:28
Ereee
Guest
Сообщений: n/a
Провел на форуме:
102354

Репутация: 267
По умолчанию
Цитата:
Сообщение от rzee  
rzee said:
этих строк нет в файле, который я залил для просмотра
Нет, я не про это. Я дал вам две строки, которые нужно вписать в консоль и выполнить. Эти две команды покажут возможное местоположение файла с вредоносным кодом. Залейте скрипт WSO через FTP, зайдите в него через веб, Console => те две команды, поочередно. После, если не отключены системные команды, то все выяснится.
 
Ответить с цитированием

  #7  
Старый 02.02.2012, 19:37
rzee
Guest
Сообщений: n/a
Провел на форуме:
2130

Репутация: 0
По умолчанию
Цитата:
Сообщение от Ereee  
Ereee said:
Нет, я не про это. Я дал вам две строки, которые нужно вписать в консоль и выполнить. Эти две команды покажут возможное местоположение файла с вредоносным кодом. Залейте скрипт WSO через FTP, зайдите в него через веб, Console => те две команды, поочередно. После, если не отключены системные команды, то все выяснится.
Спасибо. Пойду гуглить как это делается... Не подскажите, где мануальчик найти лучше и качнуть этот скрипт?
 
Ответить с цитированием

  #8  
Старый 02.02.2012, 20:50
rzee
Guest
Сообщений: n/a
Провел на форуме:
2130

Репутация: 0
По умолчанию
По части того, что написал уважаемый Ereee, я не смог проверить, т.к. в подобных делах - 0... просто опасаюсь, что залью чего не того или чего намудрю, что возникнет еще больше вопросов...

По части вредоносного кода нашел рекомендацию на ai-bolit.php, который выдает список (возможно) зараженных файлов... запустив команду со скриптом ни чего выявлено не было.

Может быть есть что то простое как то, что привел выше, но надежнее показывает?
 
Ответить с цитированием

  #9  
Старый 02.02.2012, 20:55
z0mbyak
Познающий
Регистрация: 10.04.2010
Сообщений: 49
Провел на форуме:
168709

Репутация: 1
По умолчанию
Проще всего будет переставить WP на новый) снеси весь двиг, и поставь новый, оставь только файл конфигурации и шаблоны (проверь шабы, кстати).

Если нет бэкдора в БД и сервак не порутан, то проблему ты решишь)
 
Ответить с цитированием

  #10  
Старый 02.02.2012, 20:57
Ereee
Guest
Сообщений: n/a
Провел на форуме:
102354

Репутация: 267
По умолчанию
Дай FTP-доступ. Мигом уберу.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ