Вирус WordPress подменяет страницу ошибки 404.php

Вирус WordPress подменяет страницу ошибки 404.php

Уже некоторое время происходят неприятности с самыми разными сайтами (объединяет их только общий хостер и владелец, конечно). Какие-то хакеры меняют содержание файла страницы ошибки WordPress 404.php и добавляют свои файлики.

После этого при нажатии на любую ссылку на странице сайта, кроме нее открывается, еще одна страница с какой-нибудь рекламой.

Вот, например, только вчера заметил, что резко упала посещаемость одного блога – практически в два и более раза.

Вирус WordPress подменяет страницу ошибки 404.php

Уже сталкивался с этой заразой, поэтому сразу посмотрел на файлы установленной темы WordPress. Прекрасно видно, что, кроме почти стандартного файла 404.php, появился еще один «перевертыш», в названии которого ноль заменен на букву О.

Вирус WordPress подменяет страницу ошибки 404.php

Содержание этого файла 4o4.php – набор знаков, которые являются зашифрованным скриптов. Выглядит файл примерно так, как на картинке:

Вирус WordPress подменяет страницу ошибки 404.php

Кроме того, вирус на хостинге добавляет файл wp-systems. И этот файл, и фейковый 404.php можно смело удалять.

Вирус WordPress подменяет страницу ошибки 404.php

Но при этом надо заменить и испорченный хакерами php-файл страницы ошибки (not found) WordPress. Сейчас он содержит также чужой код.

Вирус WordPress подменяет страницу ошибки 404.php

А должен выглядеть примерно вот так:

Вирус WordPress подменяет страницу ошибки 404.php

Если сайт заражен этим вирусом, то будет открываться страница сайта googleframe с папкой какого-нибудь рекламного скрипта.

Вирус WordPress подменяет страницу ошибки 404.php

Кроме того, вирус может создавать в корневой паке сайта директории, в которых лежат по два файла htaccess и php-файл «new».

Это всё также подлежит уничтожению. Пока вроде бы помогает.

Апдейт 27 февраля 2015. Избрали новую тактику — встраивают в файлы header.php и другие код java-скриптов, которые работают так же: при нажатии на любую ссылку на странице открывается еще одна рекламная вкладка.

Вирус WordPress подменяет страницу ошибки 404.php

Апдейт 13 марта 2015 года. Институт вирусологии вообще офигел! Они сделали ход конем и внедрили этот код скрипта В КАЖДЫЙ пост — просто в текст поста!

Это интересно:  Подробная инструкция по регистрации домена на сайте WebMoney

Апдейт 5 апреля 2015 года. Настроил максимальную защиту для сайтов на WordPress (нужно будет разобрать это подробнее). Google сообщил о взломе сайта, обнаружил благодаря сообщению, что скрипты были даже в комментариях!

Самое интересное в блоге

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

18 − 9 =