Высоков.ру

Вирус WordPress подменяет страницу ошибки 404.php

404 error file virus

Уже некоторое время происходят неприятности с самыми разными сайтами (объединяет их только общий хостер и владелец, конечно). Какие-то хакеры меняют содержание файла страницы ошибки WordPress 404.php и добавляют свои файлики.

После этого при нажатии на любую ссылку на странице сайта, кроме нее открывается, еще одна страница с какой-нибудь рекламой.

Вот, например, только вчера заметил, что резко упала посещаемость одного блога – практически в два и более раза.

Уже сталкивался с этой заразой, поэтому сразу посмотрел на файлы установленной темы WordPress. Прекрасно видно, что, кроме почти стандартного файла 404.php, появился еще один «перевертыш», в названии которого ноль заменен на букву О.

Содержание этого файла 4o4.php – набор знаков, которые являются зашифрованным скриптов. Выглядит файл примерно так, как на картинке:

Кроме того, вирус на хостинге добавляет файл wp-systems. И этот файл, и фейковый 404.php можно смело удалять.

Но при этом надо заменить и испорченный хакерами php-файл страницы ошибки (not found) WordPress. Сейчас он содержит также чужой код.

А должен выглядеть примерно вот так:

Если сайт заражен этим вирусом, то будет открываться страница сайта googleframe с папкой какого-нибудь рекламного скрипта.

Кроме того, вирус может создавать в корневой паке сайта директории, в которых лежат по два файла htaccess и php-файл «new».

Это всё также подлежит уничтожению. Пока вроде бы помогает.

Апдейт 27 февраля 2015. Избрали новую тактику — встраивают в файлы header.php и другие код java-скриптов, которые работают так же: при нажатии на любую ссылку на странице открывается еще одна рекламная вкладка.

add scrypt

Апдейт 13 марта 2015 года. Институт вирусологии вообще офигел! Они сделали ход конем и внедрили этот код скрипта В КАЖДЫЙ пост — просто в текст поста!

Апдейт 5 апреля 2015 года. Настроил максимальную защиту для сайтов на WordPress (нужно будет разобрать это подробнее). Google сообщил о взломе сайта, обнаружил благодаря сообщению, что скрипты были даже в комментариях!

8 комментариев к записи «Вирус WordPress подменяет страницу ошибки 404.php»
  1. Десница:

    Там много подобного нагрузилось.
    Что делать не понятно.
    Просто восстановил из резервный вчерашней копии ((

  2. Люба:

    Аллах миловал ))

  3. Маркианц:

    Спасибо за предупреждение

  4. FrauSite:

    Спасибо! Давай еще )

  5. Ралли:

    Интересно почитать =)

    Удачи с блогом!

  6. Geradot:

    Прочитал с интересном =)
    Побродим ещё…

  7. Иван Маркин:

    Такая же беда на джумле. Бьюсь уже полгода, результат никакой. Создается куча разных левых файлов, внедряется код в файлы. Еще заметил, что левые файлы имеют атрибуты либо 644, либо вообще без оных (не установлены). Всем страдальцам надо бы объединится на одном проекте, помогать людям от этих подонков (-ка) спасение искать. Моих знаний не хватает, чтобы вычислить скрипт по коду страницы, перелопачиваю раз или два в неделю весь сайт, каждый файл .php. Было даже так, что картинки были заражены. Заметил такое после установки интернет-магазина К2 и Joomshopping (пробовал разные магазины, потом К2 удалил).

  8. Иван Маркин:

    Извиняюсь за неточность, атрибуты у левых файлов 664

Комментировать