Помощь Переадресация записей на aviasales - ищу где в коде

[Domme]

Сайт на WP, 4.7.3. Когда то там стояла форма для смартреспондера, проблема возможно в ней была, но её из сайдбара то убрал а проблема осталась
Все записи переадресовываются на указанный сайт сразу, как только чтото подгружается. Вот ссылка с примером.

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

Страницы - нормально. Только записи.
В шаблонах, сингл, подвал, комменты, пост, футер и т.п. - скрипта не видно
хтакцесс норм, functions тоже
wordfence час уже слабые пароли ищет.. Может я смотрю не там и есть способ проще?

Спасибо

 

[qwertyguru]

Страницы - нормально. Только записи.

У вас прямо в шапке скрипт Для просмотра ссылки Войди или Зарегистрируйся
Ищите, я по WP не силен, но возможно в каком то блоке сидит, которые всегда есть на страницах с записями.

 

[Domme]

ок вижу теперь как он называется

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

откуда только он вызывается... в хедере вроде только скрипт ВК, в сингле их вообще нет

 

[Kindly]

Но может быть тут поискать functions.php?

Вижу уже искали там, тогда попробуйте скачать Folder Find Text и поискать по содержимому в файлах!

 

[starwanderer]

Судя, по тому, что скрипт отрабатывает в записях, он находится в шаблонах записей.
Можно сделать проще. Загрузите к себе Backup сайта (файловый).
Разверните локально ту же версию WP с теми же плагинами и темой.
То есть, нужно сделать заведомо чистую установку.
Сделайте пофайловое сравнение.
Контент хранится в БД и в папке загрузок.
Поэтому файлы движка должны быть идентичны.
Там где будет отличие - там и ищите заразу.

Скрипт скорее всего кодирован.
Ищите Base64. Кодированные строки.
И функцию eval()

Также можно пройтись Для просмотра ссылки Войди или Зарегистрируйсяи Для просмотра ссылки Войди или Зарегистрируйся

 

[Kindly]

А разве по названию в файлах найти все таки не легче?

 

[starwanderer]

А разве по названию в файлах найти все таки не легче?

Это он в браузе декодированным отображается. А в исходном коде, он обычно лежит безобидной строкой. Или даже картинкой. В данном случае возможно и так.
Rescan.Pro нашёл скрипт в jpg.

 

[Domme]

Rescan.Pro нашёл скрипт в jpg.

да, в файлах действительно не находит.

А про эту картинку чтонибудь еще известно? у меня там несколько упрощенный вид представления Для просмотра ссылки Войди или Зарегистрируйся

 

[Kindly]

Мне и за хайда не видно было! Теперь понятно

 

[starwanderer]

Более детально Айболит даст информацию. Можете им прогнать в параноидальном режиме.Картинка вызывается с shareclods.com. Скорее всего также закодированным скриптом.

В скриптах можно долго плутать. Я вам написал выше, как быстрее найти. Так уже не один сайт вычистили.
Те файлы, которые отличаются просто заменять на чистые, а иначе специалиста нанимать придётся по декодированию.
И ещё почистите папку uploads. Там обычно (от специфики сайта, конечно) ничего кроме картинок и может быть небольших видео, не должно быть. Уже облегчите себе жизнь. Туда часто заразу заливают.