Исправление темы WordPress с вредосносными кодами

Admin WordPress Обсудить

Сторонние темы на WordPress скаченные с сайтов сомнительного содержания не редко внутри содержат вредоносные скрипты. Удаляем такой код на одном из примеров.

Заказчик попросил найти вредоносный код в теме tyrion. В верху каждой страницы тема генерировала ссылки на сторонние внешние ресурсы в таком виде:

Пришлось потратить какое-то время, чтобы найти зловредную вставку. Бегло просмотрев тему и поискав по ключевым тегам вроде kengid3 и названиям сайтов, я подумал, что причина заражения может находится где-нибудь на самом сервере. Также поискал зашифрованные вставки, которые могли быть внедрены специализирующими функциями php, но тщетно.

В ожидание ssh доступа чтобы проверить сервер на вирусы, я ещё раз внимательно осмотрел и заметил, что вверху злоумышленник допустил невнимательность. Код заканчивался так:

А это означало только одно, что первый доктайп лишний и вообще написан не верно. Вбив в поиск !DOCTYPE html! я нашел файл отвечающий за его вывод и там лежал и наш вредоносный код. Находился он в файле load.php и выглядел так:

При всей тщательности маскировки кода, в конце была допущена нелепая оплошность, что и позволило найти эту вставку. Вручную пересматривать пару сотен файлов было бы ужасно.

Из этого примера мы видим, что подобные вредоносные коды каждый раз тянут информацию со стороннего сайта. Следовательно такие вставки можно искать и по ключевым словам: curl_init, curl_setopt и т.д. В темах WordPress обычно ничего не должно соединяться с «внешним миром» таким образом.

Если вам пригодилась информация, помочь развитию сайта можно так:

Пожертвований за неделю: 700 рублей
Спасибо!

Добавить комментарий

Напишите свой комментарий, если вам есть что добавить/поправить/спросить по теме текущей статьи: "Исправление темы WordPress с вредосносными кодами".

Ваш e-mail не будет опубликован. Обязательные поля помечены *