Вредоносный код на сайте

Главные вкладки

Аватар пользователя stavropolnews stavropolnews 8 ноября 2022 в 17:04

Здравствуйте.

Внезапно обнаружил в исходном коде кучу посторонних внешних ссылок, а также вот такой код вкнце страницы:
<script>['sojson.v4']["\x66\x69\x6c\x74\x65\x72"]["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"](((['sojson.v4']+[])["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"]['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']['\x61\x70\x70\x6c\x79'](null,"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"['\x73\x70\x6c\x69\x74'](/[a-zA-Z]{1,}/))))('sojson.v4');</script>

После гугления нашел сайт, чтобы его расшифровать. Получилось это:

var my_key_word_re = new RegExp("Google|mytest", "gi");if(!my_key_word_re.test(navigator.userAgent)) { var class_my_key_word = document.getElementsByClassName('keys_words'); for(var i = 0; i < class_my_key_word.length; i++) class_my_key_word[i].style.display = 'none';}

Этот код добавляет на все страницы сайта ссылки в меню (но они не видны пока не посмотришь в исходный код). А также добавляет в папку /sites/default/files/js два таких файла:

  1. wysiwyg_ckeditors_uWMoMQ5qlhtyHc-FJlMT-azsAxhCeS89weKBiAtXujlM.js (он пустой)
  2. wysiwyg_ckeditors_uWMoMQ7qlhtyf-cFJlMTazsAxhCeS88weKBiAtXujAQ.js (48кб и тут список ссылок с анкорами).

Пробовал искать по всему сайту куски кода, сайтов и т.д. А также искал в БД. Сменил все пароли на всякий случай. Но толку ноль! Нигде не могу найти этот код.

Подскажите, пожалуйста, может кто сталкивался? А то уже заспамили ссылками сайт.

Комментарии

Аватар пользователя ivnish ivnish 8 ноября 2022 в 18:18

stavropolnews wrote: Нигде не могу найти этот код.

Дак может его там и нет? Если сайт работает по http, то внедрять код может сам провайдер

Давайте ссылку на сайт, проверим

Аватар пользователя ant4 ant4 8 февраля 2023 в 9:40

Конкретно с таким не сталкивался, но заразу с сайта выводить приходилось.
Перед манипуляциями с файлами и БД обязательно сделать резервную копию!!!
Вам надо искать например sojson в файлах и БД. (я в ядре Drupal 7 такой комбинации символов не нашёл)
Если ничего не находится, то сравнивать файлы ядра и модулей с тем что у Вас сейчас имеется. Сравнивать вручную тоже можно, но это уже мазохизм, в Linux свои инструменты (например diff) в Windows свои (я пользовался Total Commander пока не пересел на Debian).
К лишним файлам присмотреться внимательно, и скорее всего удалить, но не факт.
Отличающиеся файлы рассмотреть очень внимательно, отличием может быть творчество специалиста класса "тяп-ляп" (оно же работает, значит и так сойдет Smile ).

PS: Если и после всего этого ничего не находится, значит у Вас глаз "за мылился", и эту работу лучше поручить кому-то другому.

Аватар пользователя stavropolnews stavropolnews 21 февраля 2023 в 5:57

Товарищи программисты, неужели никто не может эту задачу решить? Она к сожалению актуальна. Правда, хоть варианты напишите, а то на сколько мозга хватило сделал).

Аватар пользователя ivnish ivnish 21 февраля 2023 в 6:09

Мы можем решить при наличии файлов сайта и дампа БД. Лечением сайта по фото тут никто не занимается 🤷‍♂️

Аватар пользователя stavropolnews stavropolnews 21 февраля 2023 в 6:15

я фото и не предоставлял вроде. Код в чистом виде. А По поводу развода - в личку, объясню. Мне нужно проблему не вашу решить, а мою. Обращаюсь с сообществу, подскажите, помогите)! Правда надо.

Аватар пользователя stavropolnews stavropolnews 21 февраля 2023 в 6:52

Самое интересное этот код я видел на забугорных сайтах, если по гуглу пробить. И тех очень мало. В яндексе походу только мне повезло с ним связаться. Китайцы это все. (код только у них их же расшифровал). Ссылки на сайте в основном французские размещаются...У кого такая лабуда отзовитесь.)