Vírusfertőzés a Wordpressben?

nwteam · 2010. augusztus 5. 07:21

Sziasztok!

Elég érdekes dologra lettem figyelmes a napokban. Csináltam egy teszt blogot, ahol a különböző pluginokat tudom megnézni illetve a magyarosításokat tesztelni. Egyik napról a másikra a tűzfalam letiltotta és nem engedte megnyitni az oldalt, mert hogy fertőzött az alábbi vírussal: HTML/ScrInject.B.Gen. Nagy nehezen azért hozzáfértem az oldalhoz és a következő fájlban bújt meg az ellenség: wp-admin/widgets.php.

Törlés, majd az adott fájl újra feltöltése. 1-2 óráig rendesen üzemel az oldal, majd újból letiltja az oldalt mert megfertőződött újból.

A kérdés az lenne, hogy lehetséges-e olyan, hogy pluginon keresztül jött a vírus? Esetleg alaki találkozott már ilyennel agy hasonlóval?

A válaszokat előre is köszönöm.

psztrnk · 2010. augusztus 5. 07:36

Kérdésem az, hogy tele van-e a sablonod base64 kódolású dolgokkal? Mert ha igen, akkor nagyon is elképzelhető.

Saját felelősségre és saját szórakoztatásodra megpróbálkozhatsz ezzel: http://blog.sucuri.net/2010/05/simple-cleanup-solution-for-the-latest-wordpress-hack.html

mano-2 · 2010. augusztus 5. 10:21

a te géped is vírusos lehet, és onnan mászik fel a féreg.

ftp jelszócsere és kaspersky nem árthat.

hgrg · 2010. augusztus 5. 19:19

hali.

ha adsz egy név-jelszót privátban, megnézem neked a tárhelyeden levő wp-d szívesen…

nwteam · 2010. augusztus 6. 20:58

Köszönöm a válaszokat. Kaptam közben egy kicsit furcsa de lehetséges választ egy biztonsági cégtől. Szerintük plugin okozhat ilyet pl ha a plugin más szerverekkel is kommunikál. Én teszteltem pont ilyeneket(időjárás plugin) és ezek ugye máshonnét szerzik az adott infokat. Vírus nem híszem, hogy van a gépemen, Hetente full scan, plusz malware írtó fut, de semmi sem kizárt. A Windows egy nagy vírus maga. Témának csak egyet használok és eddig nem volt gond vele.

De azért várom a további észrevételeket.

varnyu-2 · 2010. augusztus 6. 21:24

Kaspersky Internet Security 2010 mellett sem mernék abba nagy reményt fektetni, hogy nincs virus a gépemen Mert náha - újrarakás előtt és fullscan után közvetlenül - bootból végignézetem az Avira AntiVir Rescue System-mel ( http://www.avira.com/en/support/support_downloads.html ) és már régen nem lepődök meg, ha legtöbbször talál valami kis gennyes “izét”

hgrg · 2010. augusztus 7. 05:34

Én meg betolok egy Ubuntu LIVE CD-t és ott leellenőriztetem az egészet így garantálva h a winyón levő cuccokból semmi sem lesz aktív mialatt fut a scan

kivancsi · 2012. szeptember 25. 19:25

Én is hasonlóképpen jártam.

Minden oldalam alja tele van rejtett viagra és hasonló linkekkel.

Ha viszont bejelentkezem, akkor már az oldal böngészőben megjelenített forrásában nem szerepelnek a linkek.

Amint kijelentkezem, újra ott vannak.

Már hetek óta keresem megoldást, de nem tudok rájönni, hova rejtőztek el azok a dögök…

Van valakinek ilyen tapasztalata, ötlete? Nem szívesen törölném a teljes site-ot elég sok munka van már benne.

Ps: összes plugin kikapcsolása, a jelenlegi téma törlése és másik használata nem segített.

kivancsi · 2012. szeptember 25. 19:27

'hgrg' wrote:

hali.

ha adsz egy név-jelszót privátban, megnézem neked a tárhelyeden levő wp-d szívesen..

Szia!

Csak kíváncsiskodom: sikerült a linkek forrását megtalálnod?

Én is hasonlóval vagyok megáldva...

Előre is kösz a választ.

hgrg · 2012. szeptember 26. 04:53

ha jól emlékszem egy fizetős sablonon keresztül (ami valami gány oldalról lett ingyenesként letöltve) jöttek be és teleszemetelték a footert

v-a-lucky · 2012. szeptember 26. 08:15

Ha lehet, a WP hivatalos oldaláról tölts le sablont és plugint. Én letöltöttel máshonnan kb 40 darabot, és telepítés előtt a nod32 mindegyiknél vírust talált. A fizetős sablon valószínűleg kevésbé vírusos, de erre azért nem vennék mérget.

Mivel a vírusok készülnek előbb, utána készül a vírusra az irtó, emiatt soha nem lehet 100% vírusmentes a gép. Sajnos. Oprendszerfüggően sajnos a windows jó célpiac a vírusok szempontjából.

Ha ilyen gyorsan visszajött a baci, akkor a géped is fertőzött lehet. (A jelszavaidat ugye megváltoztattad közben?)

Ha gyors szabadulást szeretnél, hgrg megoldja, ha hosszú távú vírusmentességet szeretnél, vigyázz a jelszavaidra, minden legyen friss változatú… De ezekről itt a fórumban már sokat írtak.

ifaur · 2012. szeptember 26. 14:13

Valami hasonlót tapasztaltam én is.

Ilyen kódok jelentek meg az egyik oldalamon:

<div id=“EwKBUGEn44DMT2k8pj3eC8aQYy” style=“position: absolute; top: -804px; left: -707px; width: 258px;”>

<a onclick=“javascript:pageTracker._trackPageview(’/outgoing/buycialis24h.com/’);”

href=“http://buycialis24h.com/”>buy Cialis online

Van valkinek valami ötlete?

seonyar2008 · 2012. szeptember 26. 19:07

Először ezeket nézd meg:

sablon: footer.php, functions.php

wp: config.php

Ha itt nem találsz semmi nem odavaló scriptet, kódolt akármit, akkor - ha egyszerű sablonod van - először tedd fel a TAC plugint és nézd meg azzal, ha bonyolult sablonod - értsd vannak benne alkönyvtárak, mint include, assets, framework, stb. - , akkor tedd fel a Solid Code Theme Editor-t, és egyesével nézd végig a sablonodat. A TAC sajnos alkönyvtárakat nem vizsgál.

Segít még a wp sentinel plugin is a kártékony kódok felderítésében.

A jövőt illetően pedig tedd fel a wp file monitor-t.