*dacă dai click și cumperi din aceste magazine online, vei susține acest blog. Imaginile conțin linkuri afiliate către acestea. Mulțumesc!
Pe 2 august în timp ce eram în concediu am accesat iSay.ro și m-a redirecționat către traffictrade.life, iar apoi mi-a deschis vreo 5 site-uri pe lângă. Atunci mi-am dat seama că vorbim de un virus, un malware sau un take over al site-ului.
În luna iulie am tot avut spam refferer de la diverse site-uri, iar acum nu puteam accesa pagina principală. Lucrurile sunt simple (din punctul meu de vedere, după ce am mai fost hăckuit) am schimbat parola cu una de peste 20 de caractere, cifre, semne, am pus o parolă în format base64 pentru login, am toate update-urile la zile atât la wordpress cât și la pluginuri, însă tot am căzut pradă la MySQL Injection.
Mno, acum caută acul în carul cu fân. Eu la mare, pe telefon, fără laptop, de vis aș putea spune. Am mâncat vreo 40% baterie pe iPhone căutând date despre accest virus, ulterior m-am conectat prin FTP ca să găsesc sursa și să pot modifica, ștergând acest malware.
Partea nasoală este că se injectează în codul unei imagini care trimite un request js (javascript) către site-ul cu pricina, adică traffictrade.life/scripts.js
Și de aici distracție! Noroc cu Adi că avea acces la calculator, rapid mi-a identificat virusul, în logo. Când mă uit mai bine văd că nu era în logo, ci era în sistemul de reclame al temei pe care o folosesc. Acolo aveam un script către profitshare pentru o reclamă în header.
Virusul mi-a înlocuit codul profitshare cu cel din imagine, iar de fiecare dată când accesam isay.ro sau orice alt articol îmi făcea redirect către x-y-z site-uri. Defapt, malware-ul ce făcea, schimba atributul unei poze și în loc de link către imagine, punea link către un fișier javascript, în cazul meu doar a schimbat un script.
L-am șters, am dat refresh și a funcționat. După 2 zile l-am luat la loc, am intrat din nou și l-am șters iar apoi am făcut update la wordpress 4.8.1. A dispărut și nu a mai apărut. Urmează să schimb tokenurile de logare din wp-config.php, parola la cPanel și la MySQL.
Pentru mine această variantă a fost una simplă, dacă la voi tema nu suportă reclame, atunci sigur va fost infectată o poză. Trebuie să luați de pe server, ultimele fișiere modificate în 24 ore, să căutați în baza de date și să faceți corectura necesară. Dacă nu găsiți se poate utiliza o comandă MySQL care pur și simplu înlocuiește orice atribut src infestat cu unul normal.
Urmărește-mă pe Google News sau activează
Ți-a plăcut articolul? Lasă un comentariu
Reduceri
*dacă dai click și cumperi din aceste magazine online, vei susține acest blog. Imaginile conțin linkuri afiliate către acestea. Mulțumesc!
Știri și review-uri la jocuri pe Steam
Video
Podcast
Eu zic sa schimbi hostul. Serverul trebuie sa detina protectie pentru astfel de mizerii care se cunosc de ani de zile.
@lucian a fost o chestie de 1 zi când s-a actualizat licența de cPanel. L-a găsit rapid în baza de date și l-am eliminat.
Am inteles asta insa gandeste-te ca odata ce a intrat putea sa-si lase portite, pe care extrem de greu le gasesti.
Iar serverul ruleaza PHP 5.4 care se stie cu probleme de vulnerabilitate. Pentru 5.4 nu mai exista suport de ceva ani http://php.net/supported-versions.php
[…] trecut a fost rândul unui malware numit Traffictrade.js să atace temele tagDiv în special Newspaper și Newsmag. Acum avem […]