Widocznie nie wykasowałeś wszystkiego.
W tym temacie masz mały poradnik jak sobie radzić: http://pl.forums.wordpress.org/topic/zlosliwe-oprogramowanie
Thread Starter
a1257a
(@a1257a)
na 99,9 % wykasowałem. Skanowałem wszystkie pliki pod kątem tego skryptu i nie było go w żadnym z plików
Na 99,9% nie.
Stosunkowo rzadko w plikach jest to, co ty widzisz w podglądzie źródła.
Ten kod zazwyczaj jest generowany dynamicznie, a w plikach występuje jako zakodowana wstawka.
Do tego warto sprawdzić plik(i) .htaccess
Thread Starter
a1257a
(@a1257a)
i czego szukać w plkach .htaccess?
„Niezwykłych rzeczy”, a na serio jakiś przekierować na nie Twoje adresy.
Wejdź na FTP i sprawdzaj pliki (jakieś kwiatki na końcu doklejone), które było ostatnio modyfikowane, w WP dość często „coś” doklejane jest do pliku functions.php.
Do tego zmiana haseł (użytkownik bazy, kokpit, ftp).
Zainstaluj sobie wtyczkę wordfence security i odpal skaner albo wtyczkę antiviurs malware czy jakoś tak się zwie, może wykryje czy i gdzie coś siedzi jeszcze.
Thread Starter
a1257a
(@a1257a)
Skaner pokazuje że coś nie tak jest w pliku : /wordpress/wp-content/themes/blacklabel2/index.php
oto plik index.php czy jest w nim coś nie tak? :
<?php get_header(); ?>
<?php get_template_part( "beforeloop", "index" ) ?>
<?php if (have_posts()) : ?>
<?php while (have_posts()) : the_post(); ?>
<?php if ( post_password_required() ) : ?>
<div class="password_p">
<?php the_content(); ?>
</div><!-- /password_p -->
<?php else : ?>
<article id="post-<?php the_ID(); ?>" class="post">
<h3 class="post_title"><a>" rel="bookmark" title="Permanent Link to <?php the_title_attribute(); ?>"><?php the_title(); ?></a></h3>
<?php
$thumbnail = wp_get_attachment_image_src(get_post_thumbnail_id(), 'full');
if($thumbnail){
?>
<div class="img_post">
<a>" rel="bookmark" title="Permanent Link to <?php the_title_attribute(); ?>" class="post_img">
<span class="background_3"><img src="<?php echo get_template_directory_uri(); ?>/images/post_img_arrow.png" alt="Read More" /></span>
<img src="<?php echo get_template_directory_uri(); ?>/framework/timthumb.php?src=<?php echo $thumbnail[0]; ?>&h=230&w=590" alt="<?php the_title(); ?>" />
<div class="clearfix"></div>
</a>
</div><!-- /img_post -->
<?php
}
?>
<?php include (TEMPLATEPATH . '/framework/meta.php' ); ?>
<?php the_content('Read more »'); ?>
<div class="clearfix"></div>
</article>
<?php endif; //password ?>
<?php endwhile; ?>
<?php include (TEMPLATEPATH . '/framework/nav.php' );?>
<?php else : ?>
<article class="post">
<h3>Not Found</h3>
<p>Sorry, but the requested resource was not found on this site.</p>
</article>
<?php endif; ?>
<?php get_template_part( "afterloop", "index" ) ?>
<?php get_footer(); ?>
ALbo chodzi o podpięty plik nav, meta albo timthumb. Opcjonalnie fałszywy alarm. Szukaj dalej.
Swoją drogą to przez timthumb najczęściej włamywano się/infekowano. Z tego co kojarzę, któraś firma hostingowa nawet zabroniła korzystania z tego skryptu (chyba WPEngine).
Thread Starter
a1257a
(@a1257a)
Coraz bardziej mi się wydaje że teraz to już fałszywy alarm ale skaner wskazuje że coś dalej nie tak. Nawet całkowicie skasowałem ten plik i przeskanowałem i dalej pokazywało że coś nie tak w tym pliki a plik był skasowany. Zapytałem się osoby która poinformowała mnie że coś jest nie tak (w antywirusie wyskoczył komunikat o wirusie) a teraz weszła bez problemu. Sam już nie wiem …
Ten plik wygląda ok.
Na wynikach tego typu wtyczek nie można polegać w 100% i to z wielu powodów, których nawet nie chce mi się teraz wymieniać.
Jeżeli masz backup wykonany przed infekcją, to przywróć z niego całość.
Jeżeli nie masz, to zostają dwa wyjścia – albo sprawdzać i czyścić samodzielnie (a do tego trzeba mieć pewną wiedzę), albo zlecić to komuś ogarniętemu.
Wróć jeszcze do lektury tematu który podlinkowałem w pierwszym poście.
-pomijając już wszystko inne …nadpisujesz wszystko co się da oryginałami – masz dostępne paczki wordpressa, podobnie jest z wtyczkami czy motywami – o ile te ostatnie nie były modyfikowane.
Jeżeli zaś motyw był modyfikowany, to zawsze możesz porównać pliki z oryginałem i sprawdzić czy poza własnymi modyfikacjami są jeszcze jakieś nieprzewidziane różnice.
Obecny motyw (zdaje się jest z themeforest) – powinieneś mieć jego paczkę, lub możliwość pobrania jej ze strony TF, więc nie powinno być problemu.
Na sam koniec tylko kasujesz zawartość katalogu cache timthumba oraz katalogów tymczasowych np. temp, tmp. Sprawdzasz też wszystkie pliki, które nie zostały nadpisane podczas podmiany.
Następnie wykonujesz aktualizacje – wordpressa, wtyczek, także motywu (jeżeli jest dostępna i nie był modyfikowany). Sprawdź też wersję timthumba i zaktualizuj jeżeli tego wymaga, aktualny jest do pobrania ze strony projektu.
Potem już zostaje zabezpieczyć całość, czyli zmiana haseł, uprawnienia itd. Podstawa podstaw > http://codex.wordpress.org/Hardening_WordPress
Thread Starter
a1257a
(@a1257a)
Dalej jest źle i sam tego nie zrobię. Pytanie do adpawl czy mógłbyś mi pomóc lub polecić osobę która by to zrobiła ?
W takim razie pisz na maila: adpawl.it NA gmail.com
