Salve.
Pasul 1: schimba toate parolele de pe o alta unitate.
Pasul 2: scaneaza-ti unitatea de virusi, posibil de acolo sa fie problema.
Pasul 3: reinstaleaza un wordpress curat. Pune si un bulletproof, ca nu strica. Verifica folderul de uploads, pentru ca multi acolo insereaza fisierele malitioase, acest folder nefiind sters la un fresh install de wp.
Daca tot reapare, posibil sa ai o problema la thema. (desi este putin probabil daca spui ca toate siteurile de pe server au beleaua asta.
Daca te pot ajuta cu un sfat sau daca doresti o oferta de optimizare pentru siteul tau, da-mi un mesaj!
Din pacate te-ai virusat. (parerea mea).
Nu este asa de grav, doar ca trebuie atentie la "devirusare". Si ia ceva timp.
downloadeaza backupurile, bazele de date, inclusiv versiunea live.
Apoi spune-ne ce fel de server este, daca e cont shared, vps/dedicat si cu siguranta se va gasi cineva sa te indrume mai departe.
Ultima modificare făcută de Dan; 6th May 2016 la 14:17.
Daca esti pe host shared, iti recomand sa treci pe ceva dedicat. Cu siguranta hacker-ul are acces la server. Nu cred ca vei scapa de problema, mai ales daca problema e de la un alt site.
Ce se intampla, pe scurt. Hacker-ul a gasit un exploit la unul dintre site-uri. Cel mai probabil a putut incarca un fisier php. Cel mai probabil, php-ul poate rula functia exec (PHP: exec - Manual), sau ceva similar. De aici hacker-ul capata acces la server. Toate fisierele. Daca ai indemanare se poate si fara exec
Urmatoarele sale prioritati vor fi:
1. sa ascunda cod php in mai multe fisiere pt. a avea acces in continuare chiar daca se rezolva bug-ul initial.
2. sa injecteze cod js in diferite fisiere pt: like pe facebook la diferite pagini / trafic pe alte pagini (iframe ascuns) etc. In general monetizare.
Vestile cele mai proaste:
1. Infectarea fisierelor se face automat (hackerul nu editeaza de mana fiecare fisier)
2. Infectarea fiserelor se face dupa un anumit pattern: scaneaza directoare, vede daca ai wp instalat, modifica fisierele cheie; totul se poate face din php;
3. Daca accesezi un fiser php /js deja infectat, sunt multe sanse sa intample pasii 1 si 2 de mai sus.
Cum rezolvi problema:
1. pleci de pe server;
2. install wp curat / pluginuri; NU pastrezi fisere vechi! (decat daca stii ce faci)
3. update la zi pt. tema / pluginuri;
4. poti incerca sa instalezi iThemes Security si / sau wordfence, dar NU te baza pe serviciul lor de devirusare. (cel free, nu am folosit serviciile platite.)
5. poti urmari cateva tutoriale de aici https://www.wordfence.com/learn/ pentru a intelege mai bine de ce si cum se intampla totul.
** update: Incearca sa vb cu firma de hosting; daca e o problema pe tot serverul s-ar putea sa te ajute.
Cel mai probabil nu gasesti nimic dar e bine sa arunci o privire:
Deschide fisierul functions.php al temei active si verifica-l prin comparatie cu originalul. Daca alte fisiere sunt mentionate, verifica-le si pe alea.
Cauti in principiu formulari de forma:
Cod:
require_once('cale/fisier.ext');
Extensia nu e neaparat sa fie php.
Ce mi se pare ciudat este faptul ca acel cod apare scris chiar in header.php. E ca si cum cel care a facut codul nu cunostea suficient de bine Wordpress...
Gandeste-te si la posibilitatea de a schimba permisiunile pentru header.php (il pui read only) si apoi sa cauti in log daca apare vreo eroare referitoare la asta si ce anume a generat-o.
Iti sugerez sa incerci plugin-ul GOTMLS. Eu l-am folosit cu succes in trecut pentru un hack de care nu reuseam sa scap, iar autorul lui spune ca poate sa elimine infectia: https://wordpress.org/support/topic/...being-injected
Iti sugerez sa incerci plugin-ul GOTMLS. Eu l-am folosit cu succes in trecut pentru un hack de care nu reuseam sa scap, iar autorul lui spune ca poate sa elimine infectia: https://wordpress.org/support/topic/...being-injected
Nu conteaza daca poate sa elimine infectia. E posibil sa ai mai multe probleme (diferite) in mai multe fisiere. Clean install. Neaparat!
Si sincer, degeaba elimina problema. Trebuie sa elimine sursa problemei.
Postat în original de rcostica
Gandeste-te si la posibilitatea de a schimba permisiunile pentru header.php (il pui read only)
E inutil. Daca poate edita fisierul ii poate schimba si permisiunile. Defapt, unele tool-urile folosite de hackeri fac asta by default, inainte de a modifica fisierele.
Postat în original de Mishu
Ce mi se pare ciudat este faptul ca acel cod apare scris chiar in header.php. E ca si cum cel care a facut codul nu cunostea suficient de bine Wordpress...
Il cunoaste suficient. Vrea ca scriptul sa fie accesat de fiecare data cand cineva intra pe site. Daca e in header.php, e in fiecare pagina a site-ului.
Daca vrei sa te uiti prin fisiere cauta
in js:
-> exec('cod');
-> atob('cod in base 64'); sau btoa
-> orice cod in base 64 sau encodat sub alta forma;
-> iframe sau referinta la sursa externa
-> search dupa "http://" sau ".com / .ru / "
in php:
-> exec / passthru / system; in general tot ce e aici: PHP: Program execution Funcții - Manual
-> file_get_contents(sursa externa)
-> base64_encode sau
-> orice cod in base 64 sau encodat sub alta forma;
Mai jos un filmulet in care se explica tot procesul de infectare. Va recomand sa urmariti.
..........Il cunoaste suficient. Vrea ca scriptul sa fie accesat de fiecare data cand cineva intra pe site. Daca e in header.php, e in fiecare pagina a site-ului.
.........
M-am referit la faptul ca putea sa-si afiseze codul in header fara a modifica fisierul header.php. Asta e oarecum metoda mai putin discreta...
Help! Cod suspect in header.php wp
Răspunde cu citat
Postat în original de rcostica
