Скрипт wollses- угроза безопасности.

virusЗдравствуйте! Итак, я обещала рассказать, как при установке SSL сертификата и устранения открытых ссылок я обнаружила вирус на сайте.

В общем-то, ещё при установке плагинов, незадолго до смены сертификата, я обратила внимание, что в корне сайта появился файл xmlrpc.php. Сначала я посчитала, что это один из плагинов принёс с собой файл. Возможно.  Но заподозрить этот файл в неприятельских действиях меня заставили другие события.

После установки сертификата и правки контента, я изучала свои сайты на предмет смешанного контента и столкнулась с тем, что у меня имеется скрипт, который имеет выход по открытой ссылке на сторонний ресурс http:// wollses.com/… Я прошла по этой ссылке, но… показывает ошибку. Я заподозрила не ладное, так как ранее на этом ресурсе точно не бывала и сервиса такого не знаю. Тогда откуда появилась ссылка и скрипт? Крайне подозрительно.

Я отправилась на просторы интернета и вскоре нашла довольно много материала об этом скрипте. Конечно, этот скрипт собирал все данные и отсылал хозяину. И слава богу, что у меня на сайте не был прикручен ни счет, ни кошелек…..

 Вполне возможно, что при смене сертификата и вы столкнётесь с такой ситуацией. Внимательно изучайте сайт на предмет смешанного контента через консоль браузера (я использовала яндекс-браузер).

Итак, как же избавиться от неприятеля?  В первую очередь нужно разобраться с файлом xmlrpc.php .  Ссылку http:// wollses.com/… , конечно же, где только увидите  сразу удаляйте.

Просто удалить файл xmlrpc.php можно, но малодействено: скрипт пропишется вновь. (Именно файл xmlrpc.php отвечает за передачу данных по запросам. Именно через этот файлик пролез скрипт wollses на моих сайтах на  wordpress.)

Если на вашем сайте много публикаций, то удалить все косяки неприятеля будет проблематично, тем более что он придерживается только ему известной тактики.

Можно почистить базу данных следующим запросом :

Но не факт, что   вы полностью избавитесь от неприятеля.

Попробуйте избавиться от вируса следующим образом:

1. Зайдите в файл (если ваш хостинг Timeweb — воспользуйтесь редактором):
\wp-includes\general-template.php
Отыщите в нём следующий код:

замените его на код:

2. В файлике

/wp-includes/class-wp-xmlrpc-server.php

Найдите код:

Здесь тоже удалите упоминание файла xmlrpc.php:

Проделав эти манипуляции, я не была уверена, что все дыры закрыты. Именно поэтому и вам советую проделать следующее.

1.Жестко устраняем вывод левого кода на сайте. Для этого, в functions.php активной темы добавляем:

2.Настоятельно рекомендую закрыть доступ к файлу xmlrpc.php в корне сайта с помощью .htaccess:

Все эти способы годятся для избавления от любого стороннего вредоносного скрипта, например shareup.ru

Даже просто внесение изменений в код файлов .htaccess и  functions.php достаточно для парализации скрипта, но надолго ли? Чистите всё!!!

Удачи!virus

 

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

6 + 11 =

 

https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_bye.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_good.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_negative.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_scratch.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_wacko.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_yahoo.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_cool.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_heart.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_rose.gif 
https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_whistle3.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_yes.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_cry.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_mail.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_sad.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_unsure.gif  https://webdohodrus.ru/wp-content/plugins/wp-monalisa/icons/wpml_wink.gif