Как выглядит вредоносный запрос
Вредоносная кампания еще не прекратилась. В логах клиентов мы наблюдали повторы атак в течение всего августа (4го, 6го, 17го). Всегда интересно посмотреть, как выглядит запрос “изнутри”, так как выполняется он методом POST и кроме строки POST /wp-admin/admin-ajax.php в обычном логе никакой информации найти не удастся. Приводим лог нашей системы мониторинга:
Причина редиректа на c2.trysomethingnew.eu
Причиной редиректа является фрагмент кода, внедренный в мета-данные темы:
В момент открытия страницы данный javascript инжектирует еще один javascript фрагмент, который, в свою очередь, проверяет источник перехода посетителя, его браузер и выполняет соответствующее перенаправление на рекламный или вредоносный адрес.
Неприятной особенностью заражения является то, что удалять его необходимо не из файлов, а из базы данных или через админ-панель. Обращаем внимание на то, что удаление инъекции из базы данных может привести к неработоспособности темы WordPress, поскольку в мета-данных сохранен сериализованный массив и необходимо сохранить размер поля td_option, чтобы десериализация была выполнена корректно. Проще всего это сделать через стандартный интерфейс администратора WordPress в NewsPaper -> Custom Code -> Custom Javascript
Для интересующихся - можем порекомендовать обзор данного заражение от
Проверить свой сайт на наличие подобного редиректа можно с помощью нашего бесплатного сервиса .
Все клиенты, находящиеся у нас под защитой, могут не беспокоиться, так как наш WAF блокирует подобные инъекции.
