Ar fi indicat. Cauta si pe net solutii cum sa securizezi xmlrpc.php si intotdeauna incearca sa ai wordpress-ul la zi
Versiune printabilă
Ar fi indicat. Cauta si pe net solutii cum sa securizezi xmlrpc.php si intotdeauna incearca sa ai wordpress-ul la zi
Sunt multe posibilitati. Insa e clar ca pe undeva ai o problema de securitate. Schimba si parolele ca masura de siguranta si sa updatezei acolo unde se poate wordpressul si pluginurile.
Oricum, e foarte iestet codul asta, nu foloseste nici eval, nici base64, nu produce pagube, decat afiseaza acel pop-up, d-aia nu-l gasea niciun antivirus.
Spor la treaba si nu uita sa verifici mereu daca e ok siteul.
offtopic: @haos - ai reusit sa-l decodezi ? Nu gasesc nici o solutie
Multumesc mult inca o data baieti!
Sper sa nu mai fie probleme. Cei de la hosting m-au ajutat de m-au rupt in doua!
Numai de bine!
Era o problema destul de dubioasa pentru ca popup-ul nu aparea mereu nici macar daca stergeai cookies
Bineinteles ca l-am decodat. Tare pervers codul. Dar orice e facut de mana omului, poate fi si desfacut :)Citat:
Postat în original de Scorpio2k2
@stildeviata - roaga-ti firma de hosting sa baneze urmatoarele IPuri:
"46.249.58.135";
"176.9.241.150";
"178.162.129.223";
"188.40.95.244";
"216.246.99.215";
@Scorpio - alege un IP de mai sus si adauga dupa el "/yoda.php?version=0001&ref=&page=&host=TEST&ip=TEST &ua=" (in cazul in care nu iti apare nimic modifica unul din parametrii TEST cu orice)
Am transmis!
Multumesc
tare codul si interesanta idee. fara base64 si alte balarii.
PS: da-mi si mie pe PM te rog ce fel de criptare este. Daca vrei bineinteles.
Hehe, ba tot cu eval si base64 e facut si asta dar perversitatea consta in faptul ca si acestea la randul lor erau criptate de inca 4-5 ori. Ghinionul tipului care a gandit strategia asta este ca eu chiar in criptare mi-am dat licenta si tot la fel de pervers am fost si eu. Ba chiar si mai mult decat el.Citat:
Postat în original de Scorpio2k2
Codul il gasesti pe blogul Sucuri.net, autorul pare-se ca a fost fan StarWars de a denumit fisierele ba Yoda.php, ba Jedi.php :))
Citez pe cei de la Sucuri.net: "Note that if your site is compromised, our free sitecheck scanner may miss this type of malware (because of the conditional way it works).". Malwareul se numeste GetMama :)
Acum am observat ca e criptat de mai multe ori. Oricum destul de desteapta treaba
Salutare,
Astazi a aparut din nou problema. Am inlocuit din nou fisierul cu pricina.
Oare mai e pe undeva? :(
Am schimbat si parolele de la cpanel pentru ca ieri nu o facusem!
Multumesc
Undeva ai o bresa in securitatea siteului si pana nu o gasesti, n-o sa se rezolve niciodata problema complet. Zi mersi ca nu iti sterge tot siteul. Injectiile astea se fac automat, altfel, cel care a gasit bresa in siteul tau poate sa faca ce vrea el cu siteul tau, inclusiv spam, raspandire de virusi, etc.
Trebuie sa rezolvi problema, in caz contrar firma de hosting iti poate inchide contul sau google te poate penaliza ori marca drept spammer. Pana iti rezolvi problema de securitate, o rezolvare partiala este sa dezactivezi XMLRPC, poti folosi acest plugin. Sau sa verifici zilnic acel fisier.
Bafta! (PS: Ti-l pot securiza si eu dar te costa)
Astazi a reaparut problema. Am instalat si pluginul de dezactivare Disable XML-RPC dar as vrea o rezolvare definitiva.
Imi poti spune pe prv conditiile tale pentru securizare?
Multumesc
Schimba thema!
Nu e nevoie deocamdata.
M-a ajutat colegul haos si s-a rezolvat.