Получил вредоносный скрипт на моем сайте WordPress, случайно появляющийся и исчезающий
в моем исходном коде как
<script src="www.71wp.org/jquery.min.js></script>
У меня есть специально созданный файл footer.php, и я понял, что скрипт каким-то образом отражается в нижнем колонтитуле, потому что, если я удаляю его из нижнего колонтитула, это единственный скрипт, который у меня есть, тогда вредоносный скрипт больше не будет появляться.
Я использовал это, чтобы найти источник вируса, и пока безуспешно.
находить . -название «.php «-exec grep» base64 «‘{}’ \; -print &> b64-detections.txt
находить . -название «.php «-exec grep» eval «‘{}’ \; -print &> eval-detections.txt
Кто-нибудь может иметь какие-либо идеи, как я могу найти этот скрипт?
Хё
Я также попробовал с:
eval()
base64_decode()
String.fromCharCode
У меня есть доступ по SSH, если это необходимо
Какие плагины вы использовали. Взлом идет только на мобильной версии
Tks
Это именно то, что происходит в вашем случае
https://blog.sucuri.net/2015/05/fake-jquery-scripts-in-nulled-wordpress-pugins.html
Вы должны искать эту функцию по всему WordPress
function wp_func_jquery() {}
Код внутри этой функции различается для разных сайтов, но имя функции остается одинаковым на всех сайтах. Обычно он находится в functions.php, footer.php или в любом файле плагина. В основном это происходит через nulled или пиратские плагины.