Skocz do zawartości

Zainfekowany hosting


s_matysik

Rekomendowane odpowiedzi

Witam

Mam na jednym hostingu problem od około półtora tygodnia. Coś infekuje mi wszystkie wordpressy.

w nagłówku w pliku header nadpisuje się taki kod

75636119233088127115.jpg

 

do tego szybko musze to usuwać, gdyż na jednej stronie gdzie nie usunąłem w porę zaczęły pojawiać się linki do produktów valium i poszedł cały wordpress tak że musiałem zaintalować na nowo. Przykład strony jak pojawiają się linki gdy kod nie zostanie usunięty

https://www.laulemdeveloppement.com/wp-admin/
https://www.laulemdeveloppement.com/services/

gdy usunąłem ten kod ze wszystkich stron pojawił się znów nastepnego dnia

na wordpressach gdzie mam zaintalowany prosty motyw landing page, gdzie nie ma osobnego pliku header kod nie pojawia się

 

na ftp zauważyłem że siedzi to w każdym standardowym motywie, tak więc oprócz tego że usunałem z każdej strony ten kod to też że wszytskich wp na hostingu usunąłem dodatkowe motywy 

przez tydzień nie było już z tym problemu, a dzis znów kod zaczął pojawiać się i nie wiem jak sobie z tym poradzić

 

ma ktoś jakiś pomysł jak temu zaradzić?

będą wdzięczny za każdą pomoc :)

 

Odnośnik do komentarza
Udostępnij na innych stronach


ma ktoś jakiś pomysł jak temu zaradzić?

 

Przede wszystkim włączyć łamanie kodu zanim się go wklei bo rozp*erdolił wątek.

 

A po drugie - kupić skórki a nie używać tych "darmowych". 

Panie Boże, chroń mnie przed debilami, bo rozmowa z nimi powoduje, że  grzeszę pychą..

Były sobie świnki trzy - content, google oraz link | jestem uczulony na pierd*lenie głupot | idiot intruder aka internetowy poszukiwacz prawdy 

Odnośnik do komentarza
Udostępnij na innych stronach

 

 

nie używać tych "darmowych".

nie używam tych "darmowych" używałem tam darmowych instalowanych z wordpressa, nie pobierałem żadnych torrentów czy coś

najgorzej że ten kod infekuje wszytskie strony na wordpressie na tym hostingu i nie wiem jak się tego pozbyć

Odnośnik do komentarza
Udostępnij na innych stronach

druga opcja: "legalny" Total Commander
trzecia opcja: filezilla

czwarta opcja: zapisane hasła do ftp

Panie Boże, chroń mnie przed debilami, bo rozmowa z nimi powoduje, że  grzeszę pychą..

Były sobie świnki trzy - content, google oraz link | jestem uczulony na pierd*lenie głupot | idiot intruder aka internetowy poszukiwacz prawdy 

Odnośnik do komentarza
Udostępnij na innych stronach

Ogólnie musisz wszystko wyczyścić z kodu, update wszystkiego do najnowszej wersji i zmiana wszystkich haseł do mysql / ftp / konta na hostingu.

kodeks-logo-baner-pio.jpg

Blog z informacjami o prawnych aspektach związanych z funkcjonowaniem internetu, w tym problematyka dotycząca SEM i SEO. organisciak.pl

Odnośnik do komentarza
Udostępnij na innych stronach

jak pojawiły się włamy zmieniłem hasło i nie zapisuję już

 

najgorszy problem to jak się tego pozbyć bo pojawia sie to na każdej stronie 

 

zmieniłem hasła, zrobiłem update

Odnośnik do komentarza
Udostępnij na innych stronach

Jeszcze jedno - sprawdź pliki. Jak to jest wordpress to najlepiej usuń wszystko i wgraj na nowo. Kiedyś miałem taki włam i był wrzucony plik .php włamywacza i przez to w kółko dodawał. Również często dopisują coś w różnych innych plikach pobocznych, często w skryptach javy. Dlatego najlepiej wszystko wgrać od nowa.

kodeks-logo-baner-pio.jpg

Blog z informacjami o prawnych aspektach związanych z funkcjonowaniem internetu, w tym problematyka dotycząca SEM i SEO. organisciak.pl

Odnośnik do komentarza
Udostępnij na innych stronach

 

 

Jak to jest wordpress to najlepiej usuń wszystko i wgraj na nowo.

strona wp gdzie prawdopodobnie była luka i tam poszedł ten włam (w zasadzie tam aż 2 różne włamy były)  usunąłem i zaintalowałem na nowo, ale dalej pojawia się to na wszytskich stronach

 

czyli jedyny sposób to usunąć wszystkie wordpressy i zaintalować na nowo? bo trochę tego jest ;/

Odnośnik do komentarza
Udostępnij na innych stronach

 

 

 

Jak to jest wordpress to najlepiej usuń wszystko i wgraj na nowo.

strona wp gdzie prawdopodobnie była luka i tam poszedł ten włam (w zasadzie tam aż 2 różne włamy były)  usunąłem i zaintalowałem na nowo, ale dalej pojawia się to na wszytskich stronach

 

czyli jedyny sposób to usunąć wszystkie wordpressy i zaintalować na nowo? bo trochę tego jest ;/

 

 

Bzdura, pozbądź się przyczyny, a nie eliminujesz jedynie skutki. Wgranie czystej wersji Wordpressa to jedynie chwilowe rozwiązanie problemu. Znajdź pliki zainfekowane, po nich szukaj przyczyny infekcji. Jeśli nie wiesz jak to zrobić odezwij się na Priv. 

Zapraszam także na mojego bloga Jacek Jagusiak. Oferuje także usługę odwirusowania stron www jak i serwerów.

Odnośnik do komentarza
Udostępnij na innych stronach

no właśnie nie wiem jak to znaleźć i całkiem usunąć, bo usunąłem ten kod ze wszytskich motywów ale nadal się odnawia

niestety gdy próbuję wysłać do Ciebie wiadomość pisze "Użytkownik Jacek J. nie może otrzymywać nowych wiadomości"

Odnośnik do komentarza
Udostępnij na innych stronach

Ale może okazać się, że nie da się namierzyć łatwo przyczyny - np. w pluginie jest luka przez którą ktoś ma dostęp do ftp i może wrzucać pliki - tworzy więc swój plik php i go ukrywa gdzieś głęboko w jakimś katalogu - nawet innej domeny i z tego plikuje infekuje od wewnątrz inne pliki. I teraz szukaj wiatru w polu. Może być tak, że infekcja nie jest w ogóle z tej strony z WP tylko z innej, a skrypt jedynie infekuje znalezione na koncie WP.

kodeks-logo-baner-pio.jpg

Blog z informacjami o prawnych aspektach związanych z funkcjonowaniem internetu, w tym problematyka dotycząca SEM i SEO. organisciak.pl

Odnośnik do komentarza
Udostępnij na innych stronach

Użyj SSH jak masz i przez konsole kolejno zapuść komendy, pisane na szybko i jak wyrzucisz z nich --exclude=*.js to będą też sprawdzały pliki JS. Tylko to tylko część i najbardziej popularne wzorce i nie każdy znaleziony plik będzie zaifekowany, ale pozwoli Ci to namierzyć większość:

 

egrep -r -i --exclude=*.js "globals" * >globals

egrep -r -i --exclude=*.js "eval\(" * >eval

egrep -r -i --exclude=*.js "eval \(" * >eval2

egrep -r -i --exclude=*.js "base64_decode" * >base

egrep -r -i --exclude=*.js "filesman" * >filesman

egrep -r -i --exclude=*.js "scandir" * >scandir

egrep -r -i --exclude=*.js "edoced_46esab" * >edoced

egrep -r -i --exclude=*.js "esab" * >edoced1

egrep -r -i --exclude=*.js "preg_replace" * >preg_replace

egrep -r -i --exclude=*.js "move_uploaded_file" * >move_uploaded_file

egrep -r -i --exclude=*.js "_FILES" * >files

egrep -r -i --exclude=*.js "decrypt_phase" * >decrypt_phase

egrep -r -i --exclude=*.js "32*2" * >decrypt_phase

egrep -r -i -E --exclude=*.js "base.*code" * >decrypt_phase

egrep -r -i --exclude=*.js "str_rot13" * >rot13

egrep -r -i --exclude=*.js "eval.*base" * >decrypt_phase1

 

Jeśli sobie nie poradzisz bądź nie masz SSH to napisz na Skype: jacekjagusiak

Zapraszam także na mojego bloga Jacek Jagusiak. Oferuje także usługę odwirusowania stron www jak i serwerów.

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności