Virus a functions.phb-ben, leginkább az ingyenblog.me-n?

Sziasztok,











Az elmúlt hetekben több ismerősömnél is a wordpress bloguknál az avast vírust jelzett.





És ezen a képen levő kódrészt találtam a theme functions.php ba





ideszka.info és majd az összes ingyenblog.me oldalakon mint pl hazipatika.ingyenblog.me























Gondoltam szólok, nézzétek meg ti is.

…wi*ed-wor_press-th3mes.com… ott figyel a láblécben.





ha lopott sablonokat használnak akkor ne lepeődjenek meg…





gondolom ez vmi sufniblog szolgáltatás…

“afféle pre alfa tesztüzemben” < felraktak egy mu-t de az üzemeltetéshez nem sok közük lehet…

Igen, ismerős csinálta saját részre, meg hogy esetleg pár haverjának is legyen blogja akik nem értenek hozzá.





De az ideszkára nem tudom hogy ment fel ez a vírus.











Tehát úgy érted hogy akkor mind2 oldalán a sablonok a hibásak?

A vírus feljutott a szerverre és a megjelenésekbe beleírta magát.

nem kellett “feljutnia”





olvasd el még egyszer : “ha lopott sablonokat használnak akkor ne lepődjenek meg…”

Ezen az ideszkán azóta is folyamatosan ott van, ez az oldal nálam van vps, de nem az enyém.





Nézem mi terhel ennyire erre látom a naplóba az url-t és az ip-t





91.223.89.112





/wp-admin/theme-editor.php?file=/Plugins/productum/functions.php&theme=Productum&dir=theme





/wp-admin/theme-editor.php?file=/home/bence/public_html/ideszka.info/wp-content/themes/Plugins/productum/functions.php&theme=Productum&a=te&scrollto=0











theme-editor ezt nem csak belépve tudják használni?

“theme-editor ezt nem csak belépve tudják használni?”





mondtam már, hogy “ha lopott sablonokat használnak akkor ne lepődjenek meg…”.





értsd meg hogy php scriptekről beszélsz. ezekben auth-t megkerülni nem túlzottan ördögi dolog…

A theme-editort elvileg csak admin tudja használni. Másik böngészővel nézd meg, mit reagál a rendszer, ha meghívod az url-t.





(bár ilyesminek nem kéne publikus kódban lennie)

syska theme-be rakott dolog gyakorlatilag olyan mintha plugin-t aktiváltak volna. bármilyen működést felülírhat 'adminként'.





simán beleraksz egy hook-ot amivel megkerülöd az admin-logint… csa

Köszönöm a válaszokat, továbbítom a blog gazdája felé.