Высоков.ру

Вирус WordPress подменяет страницу ошибки 404.php

Вирус WordPress подменяет страницу ошибки 404.php

Уже некоторое время происходят неприятности с самыми разными сайтами (объединяет их только общий хостер и владелец, конечно). Какие-то хакеры меняют содержание файла страницы ошибки WordPress 404.php и добавляют свои файлики.

После этого при нажатии на любую ссылку на странице сайта, кроме нее открывается, еще одна страница с какой-нибудь рекламой.

Вот, например, только вчера заметил, что резко упала посещаемость одного блога – практически в два и более раза.

Вирус WordPress подменяет страницу ошибки 404.php

Уже сталкивался с этой заразой, поэтому сразу посмотрел на файлы установленной темы WordPress. Прекрасно видно, что, кроме почти стандартного файла 404.php, появился еще один «перевертыш», в названии которого ноль заменен на букву О.

Вирус WordPress подменяет страницу ошибки 404.php

Содержание этого файла 4o4.php – набор знаков, которые являются зашифрованным скриптов. Выглядит файл примерно так, как на картинке:

Вирус WordPress подменяет страницу ошибки 404.php

Кроме того, вирус на хостинге добавляет файл wp-systems. И этот файл, и фейковый 404.php можно смело удалять.

Вирус WordPress подменяет страницу ошибки 404.php

Но при этом надо заменить и испорченный хакерами php-файл страницы ошибки (not found) WordPress. Сейчас он содержит также чужой код.

Вирус WordPress подменяет страницу ошибки 404.php

А должен выглядеть примерно вот так:

Вирус WordPress подменяет страницу ошибки 404.php

Если сайт заражен этим вирусом, то будет открываться страница сайта googleframe с папкой какого-нибудь рекламного скрипта.

Вирус WordPress подменяет страницу ошибки 404.php

Кроме того, вирус может создавать в корневой паке сайта директории, в которых лежат по два файла htaccess и php-файл «new».

Это всё также подлежит уничтожению. Пока вроде бы помогает.

Апдейт 27 февраля 2015. Избрали новую тактику — встраивают в файлы header.php и другие код java-скриптов, которые работают так же: при нажатии на любую ссылку на странице открывается еще одна рекламная вкладка.

Вирус WordPress подменяет страницу ошибки 404.php

Апдейт 13 марта 2015 года. Институт вирусологии вообще офигел! Они сделали ход конем и внедрили этот код скрипта В КАЖДЫЙ пост — просто в текст поста!

Апдейт 5 апреля 2015 года. Настроил максимальную защиту для сайтов на WordPress (нужно будет разобрать это подробнее). Google сообщил о взломе сайта, обнаружил благодаря сообщению, что скрипты были даже в комментариях!

Другие интересные записи
8 комментариев к записи «Вирус WordPress подменяет страницу ошибки 404.php»
  1. Десница:

    Там много подобного нагрузилось.

    Что делать не понятно.

    Просто восстановил из резервный вчерашней копии ((

  2. Люба:

    Аллах миловал ))

  3. Маркианц:

    Спасибо за предупреждение

  4. FrauSite:

    Спасибо! Давай еще )

  5. Ралли:

    Интересно почитать =)

    Удачи с блогом!

  6. Geradot:

    Прочитал с интересном =)

    Побродим ещё...

  7. Иван Маркин:

    Такая же беда на джумле. Бьюсь уже полгода, результат никакой. Создается куча разных левых файлов, внедряется код в файлы. Еще заметил, что левые файлы имеют атрибуты либо 644, либо вообще без оных (не установлены). Всем страдальцам надо бы объединится на одном проекте, помогать людям от этих подонков (-ка) спасение искать. Моих знаний не хватает, чтобы вычислить скрипт по коду страницы, перелопачиваю раз или два в неделю весь сайт, каждый файл .php. Было даже так, что картинки были заражены. Заметил такое после установки интернет-магазина К2 и Joomshopping (пробовал разные магазины, потом К2 удалил).

  8. Иван Маркин:

    Извиняюсь за неточность, атрибуты у левых файлов 664

Комментировать