@apple-apple

Какие существуют способы выявления вредоносного кода на Wordpress?

Где-то сидит зловред и генерирует на главной странице свою внешнюю ссылку. В базе и в файлах я следов его не нашел. Генерируется он 100% не через javascript. Пересматривать вручную все файлы слишком долго и вряд ли вообще кто-то так делает. Каким образом можно отловить, где он генерируется и как?
  • Вопрос задан
  • 141 просмотр
Решения вопроса 4
Просканируйте сайт Ай-Болитом
Ответ написан
YanAlexandrov
@YanAlexandrov
Чайник со стажем
Посмотрите в файлах темы или плагинов, есть ли код, который содержит eval, base64_decode, gzinflate или str_rot13. Это можно сделать на Nodepad++
Ответ написан
Airat_Halitov
@Airat_Halitov
Предприниматель
1. Плагин Wordfence для начала. В настройках сканирования включите всё, что можно. Там еще отдельно включается "параноидальный" режим.

2. Можно скачать сайт на локалку (из бекапа) и проверить его через Ai-bolit. У него тоже есть параноидальный режим - проверьте и им за компанию. Но там часто бывают ложные срабатывания.

3. Если искать вручную - отсортируйте файлы по дате изменения и посмотрите в них правки. Обычно зловреды бывают в файлах functions.php от вашей темы (или дочерней темы). Или в обычных php скриптах в самой первой строке (просто далеко сдвинуты вправо за пределы экрана). Но этот метод поиска долгий и мучительный. Лучше Wordfence - он сравнит файлы WordPress и плагинов с официальными репозиторями. Спорные плагины и темы лучше переустановить с официальных источников, а варез вообще удалить

4. Еще накидаю полезные ссылки с подборкой сканнеров, если это не поможет (хотя у меня была похожая ситуация, и первые 3 шага помогли).
https://habrahabr.ru/post/303956/
www.avto-city.com.ua/it-technology/1400-scan-site-...
Ответ написан
@apple-apple Автор вопроса
В общем нашелся вирус, он был в html файле(в папке темы), который инклудился в functions.php. Кстати интересная особенность, этот вирус инклудил файл с расширением .jpg, в котором тоже был вредоносный код и как не странно все это дело успешно отрабатывало. Я и не знал, что так можно...
П.С Я к тому, что исполняемый код вируса может лежать где угодно (в любом файле, с любым расширением), успешно инклудиться и отрабатывать! Как я был наивен, просматривая только файлы с расширением .php.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
Скопировать на комп и прогнать DrWeb.
Найти ту же версию WP и сверить файлы, которые вне шаблона.
Ответ написан
@KingAnton
Всего-то нужно просмотреть файлы темы, т.к. чистую версию движка и плагинов можно скачать с офиц. с сайта.
Не редко вредоносный код может быть в базе mysql, поэтому ai-bolit не детектит его.
Ответ написан
@azerphoenix
Установите плагин Wordfence и просканируйте. Он все сделает
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы