Pagina 1 din 2 12 UltimulUltimul
Rezultate 1 la 10 din 16

Subiect: Site afectat de malware sau alte prostii din astea

  1. #1
    Avatarul lui tataraseni
    tataraseni este deconectat Ambasador
    Reputatie:
    41
    Data înscrierii
    15th July 2005
    Locaţie
    Brasov
    Posturi
    1.482
    Putere Rep
    41


    Implicit Site afectat de malware sau alte prostii din astea

    Luni m-am trezit pe un site realizat cu WP ca am intr-un articol inserat un link catre alt site cu textul Viagra, Cialis, bla-bla-bla...

    Pentru ca era ceva ce nu facusem cu manuta mea am dat un search dupa anchor si surprize-surprize: fiecare articol avea de codita un astfel de link (pozitionarea era pur intamplatoare in cadrul articolui).

    Primul impuls a fost sa aplic nofollow la tot ce inseamna link extern (s-a rezolvat intr-un minut cu un plugin). Al doilea lucru pe care l-am facut a fost sa reinstalez de la zero WP si pluginurile aferente, dupa ce in prealabil am incercat o restaurare a bazei de date cu cateva backup-uri dar care din pacate erau toate alterate.

    Am sapat pe net si am descoperit ca site-ul era afectat de malware: am sapat in baza de date dupa secvente malitioase, n-am gasit nimic si am crezut ca am scapat.

    Mai ramanea sa gasesc o solutie de a curata toata baza de date de link-urile spam inserate, dar astazi m-am trezit cu un nou val de insert in acelasi stil.

    Precizez ca am schimbat useri si parole de la WP si de la DB, am schimbat tema dar am puricat si vechea tema in cautare de cod suspect.

    A mai fost cineva in situatia aceasta? Daca da, cum a rezolvat problema?

    Site-ul are in jur de 1.500 de articole si o medie de 150 de vizitatori pe zi. Nu e ceva de care sa depind, e doar un proiect de suflet.

  2. #2
    Avatarul lui Ben Boingeanu
    Ben Boingeanu este deconectat Ambasador
    Reputatie:
    44
    Data înscrierii
    12th July 2004
    Locaţie
    Suceava
    Posturi
    1.722
    Putere Rep
    44


    Implicit

    Lucrez foarte des pe wordpress, dar inca nu am patit asa ceva. La o prima cautare mi-a iesit asta in fata:

    WordPress › Support » Spam link insertion hack

    Sunt mai multe solutii, poate te ajuta, poate chiar le-ai citit deja.
    Boingeanu Ben

  3. #3
    Avatarul lui tataraseni
    tataraseni este deconectat Ambasador
    Reputatie:
    41
    Data înscrierii
    15th July 2005
    Locaţie
    Brasov
    Posturi
    1.482
    Putere Rep
    41


    Implicit

    Problema e ca nu gasesc nimic suspect, poate nu stiu ce sa caut, insa treaba e ca si cea cu operatia reusita dar pacientul mort...

  4. #4
    Avatarul lui nexo
    nexo este deconectat Membru SeoPedia
    Reputatie:
    26
    Data înscrierii
    25th January 2011
    Locaţie
    Bucuresti
    Vârstă
    37
    Posturi
    81
    Putere Rep
    26


    Implicit

    @tataraseni: Mie mi s-a intamplat sa descopar ca am posturi care nu au fost publicate de mine, iar in content link catre diferite situri. Dupa ce am modificat permisiunile la unele fisiere din tema (le uitasem pe 777) nu am mai avut probleme.

  5. #5
    Avatarul lui tanshi
    tanshi este deconectat Membru SeoPedia
    Reputatie:
    26
    Data înscrierii
    3rd March 2011
    Locaţie
    Ramnicu Sarat, Buzau
    Vârstă
    43
    Posturi
    214
    Putere Rep
    26


    Implicit

    Cum spune nexo, verifica permisiile pe fisiere.

    Verifica si pe hosting sa nu ai alte fisiere suspecte, ce nu apartin de wordpress, plugins, themes. Uita-te si la fisierele "hidden".

    Plus, verifica .httacess

    Exista cazuri similare pe hostingul tau? Eu am patit ceva asemanator pe un hosting 1and1 - aveau un script ciudat cu care adaugai fisierul de verificare pentru Google Webmaster tools pe domeniile addon, care era vulnerabil si am rezolvat problema doar schimband hostingul.
    The best things in life aren't things

  6. #6
    Avatarul lui tataraseni
    tataraseni este deconectat Ambasador
    Reputatie:
    41
    Data înscrierii
    15th July 2005
    Locaţie
    Brasov
    Posturi
    1.482
    Putere Rep
    41


    Implicit

    @nexo, @tanshi - am reinstalat complet WP + pluginuri WP, toate descarcate de pe WP... permisiunile pentru fisiere sunt OK. Problema e undeva in DB dar nu o gasesc...

  7. #7
    Avatarul lui Dragos Nicu
    Dragos Nicu este deconectat Membru SeoPedia
    Reputatie:
    41
    Data înscrierii
    20th January 2008
    Locaţie
    Sibiu, RO
    Posturi
    2.011
    Putere Rep
    41


    Implicit

    Incearca sa schimbi parola de la cPanel si FTP. Sterge cookies, cache din browser.
    Poti sa dai de mine usor, @contact.

  8. #8
    Avatarul lui tanshi
    tanshi este deconectat Membru SeoPedia
    Reputatie:
    26
    Data înscrierii
    3rd March 2011
    Locaţie
    Ramnicu Sarat, Buzau
    Vârstă
    43
    Posturi
    214
    Putere Rep
    26


    Implicit

    incearca asta in phpmyadmin:

    Cod:
    SELECT * FROM wp_posts WHERE post_content LIKE '%<iframe%'
    UNION
    SELECT * FROM wp_posts WHERE post_content LIKE '%<noscript%'
    UNION
    SELECT * FROM wp_posts WHERE post_content LIKE '%display:%'
    The best things in life aren't things

  9. #9
    Avatarul lui Alex Dumitru
    Alex Dumitru este deconectat Administrator
    Reputatie:
    61
    Data înscrierii
    20th April 2006
    Locaţie
    Pitesti / Bucuresti
    Vârstă
    35
    Posturi
    3.339
    Putere Rep
    61


    Implicit

    Eu acum cateva zile m-am trezit cu niste coduri de genul asta in jquery.js pe unul din blogurile mele, dar baza de date si restul fisierelor au fost curate.

    Problema e ca nu poti sa gasesti foarte usor problema, codurile fiind criptate si generate de javascript.

    Daca problema a aparut in alte posturi decat cele vechi, nu cred ca e posibil sa ai vreun cod in baza de date care sa faca asta. Cel mai probabil ai vreo vulnabilitate. Upgradeaza la ultima versiune de Wordpress tot timpul si spune-ne daca ai descoperit ceva

    --- Later Edit --- (ca mi-a fost lene sa apas "Edit")

    Citat Postat în original de tanshi Vezi Post
    incearca asta in phpmyadmin:

    Cod:
    SELECT * FROM wp_posts WHERE post_content LIKE '%<iframe%'
    UNION
    SELECT * FROM wp_posts WHERE post_content LIKE '%<noscript%'
    UNION
    SELECT * FROM wp_posts WHERE post_content LIKE '%display:%'
    Sunt sanse mai mari daca cauta %<script%, pentru ca toate injecturile pe care le-am vazut sunt generate prin javascript ca sa nu poata fi gasite cu un simplu search.

    --- Later Edit --- (ca mi-a fost lene sa apas "Edit")

    Citat Postat în original de Dragos Nicu Vezi Post
    Incearca sa schimbi parola de la cPanel si FTP. Sterge cookies, cache din browser.
    Foarte buna ideea cu cookies si cache. Azinoapte nu am dormit pentru ca m-am chinuit sa reinstalez wp si sa curat tema de cateva ori. Si injectul disparuse de mult, dar imi ramasase mie pagina in cache

  10. #10
    Avatarul lui tataraseni
    tataraseni este deconectat Ambasador
    Reputatie:
    41
    Data înscrierii
    15th July 2005
    Locaţie
    Brasov
    Posturi
    1.482
    Putere Rep
    41


    Implicit

    Rulat de mult... si e curat DB-ul...

    --- Later Edit --- (ca mi-a fost lene sa apas "Edit")

    Singurele care nu sunt afectate sun posturile programate, cum se publica unul nu trec 24 de ore si se aplica link spam-ul.

    Sunt afectate toate articolele inca de la primul articol.

    Sunt la zi cu WP-ul si cu pluginurile...

    --- Later Edit --- (ca mi-a fost lene sa apas "Edit")

    Tot ce inseamna cookies si cache se sterg automat cand inchid browserele cu care lucrez.

    Schimbat de mult parola de cPanel si FTP, userul e cel setat de cei de la hosting.

Pagina 1 din 2 12 UltimulUltimul

Informații subiect

Utilizatori care navighează în acest subiect

Momentan este/sunt 1 utilizator(i) care navighează în acest subiect. (0 membrii și 1 vizitatori)

Thread-uri Similare

  1. Vizite de pe alte site-uri
    De l00ky în forumul Bar, lobby...
    Răspunsuri: 6
    Ultimul Post: 10th March 2010, 10:46
  2. Cum a afectat criza economica siteurile personale?
    De acsa în forumul Bar, lobby...
    Răspunsuri: 10
    Ultimul Post: 9th November 2009, 12:51
  3. Adaugaurl.ro hosting malware!
    De thefan în forumul Utile
    Răspunsuri: 3
    Ultimul Post: 9th June 2009, 16:13
  4. Analiza: Cum a afectat ultimul PR update directoarele romanesti si staine?
    De Marius Mailat în forumul Directoare romanesti
    Răspunsuri: 9
    Ultimul Post: 26th November 2007, 12:39
  5. Fake PayPal - inca un român care se tine de prostii
    De c_n_m în forumul E-mail SPAM
    Răspunsuri: 2
    Ultimul Post: 31st October 2006, 12:52

Permisiuni postare

  • Nu puteţi posta subiecte noi.
  • Nu puteţi răspunde la subiecte
  • Nu puteţi adăuga ataşamente
  • Nu puteţi modifica posturile proprii
  •