@janko-muzykanto: widziałem coś takiego kiedyś. Skakało po plikach *.php, tj., co request dopisywało swój kod do innego losowego pliku php. Fajnie wyglądało ;). Punktem pierwszej infekcji było ftp; jeden z użytkowników zainfekował swojego peceta i hasło zostało wyciągnięte z cache totalcommandera. W logu ftp było widać, że to zautomatyzowany robak.
Jeśli masz dostęp shell do serwera to zrób coś w stylu
@elirath: a w czym wykorzystuję lukę skoro mam nie wchodzić bez antywirusa?
@janko-muzykanto: zamiana pewnie następuje na twoim komputerze przy wysyłaniu pliku. Spróbuj poprawić plik htaccess z innnego komputera / urządzenia mobilnego.
@elektryk91: właśnie, że nie. Wczoraj wieczorem poprawiłem do rana było dobrze. Po dacie pliku wiedzę napisanie o 9 coś tam. Wgrałem poprawny a już o 13 to samo, znów podmieniony.
@janko-muzykanto: no to może kopia zapasowa tez jest zainfekowana? A swoją to, że wtyczki są aktualne to nie znaczy, że są bezpieczne. Weź wyłącz wszystkie i sprawdź co wtedy się stanie.
@janko-muzykanto: Musisz w ustawieniach uruchomić PW. Domyślnie są zablokowane. Naprawiłbym Ci to w godzinę, bo codziennie się zmagam z podobnym stuffem.
@elektryk91: nie wiem czy w ogóle coś tam jest - do mnie nic nie próbuje wysłać, być może filtruje cele po useragencie. Jeśli ktoś ma odpowiednią wiedze to wie jak to odpytać, żeby mu nic nie groziło (możesz to spokojnie odpytać curlem i innymi narzędziami, po prostu nie otwieraj w ie / w niezabezpieczonej przeglądarce z flashem lub javą).
@janko-muzykanto: Problem tkwi nie tylko w plikach .htaccess - jeżeli znasz mniej-więcej datę infekcji to sprawdź daty modyfikacji innych plików php - zwłaszcza index.php - główny i w folderze wp-admin.
Poza tym zobacz, czy nie masz dorzuconych plików o losowych nazwach.
Zainfekowane pliki php zawierają kod base64 - musisz to pousuwać, lub podmienić z kopii zapasowej, lub czystej wersji WP.
Ja miałem swego czasu sporo takich infekcji w joomli. Pomogło
Mianowicie jakąś menda podmienia mi pliki .htaccess w Wordpressach
WP jak i wtyczki aktualne, hasła do ftp i kokpitów zmieniałem, a to dalej to samo.
Tak wygląda .htaccess po podmianie.
http://pastebin.com/WeVeYuiX
Może ktoś się spotkał z dym dziadostwem i wie jak się tego pozbyć?
#wordpress #wp #webmastering #webdev
Wchodziłeś w ogóle na ten adres?
[http://46.161.41.152/sds/go.php?sid=1](http://46.161.41.152/sds/go.php?sid=1)Jeśli masz dostęp shell do serwera to zrób coś w stylu
grep eval\( .@elirath: Co ciekawsze przywróciłem pliki z kopii zapasowej, zaktualizowałem, pozmieniałem hasła do kokpitu i do ftp a do dalej podmienia.
Loguję się do różnych kont i tylko na tym jednym to dziadostwo jest.
@janko-muzykanto: zamiana pewnie następuje na twoim komputerze przy wysyłaniu pliku. Spróbuj poprawić plik htaccess z innnego komputera / urządzenia mobilnego.
Chyba trze będzie tak zrobić, tylko na kilku serwisach może trochę to zająć czasu.
Poza tym zobacz, czy nie masz dorzuconych plików o losowych nazwach.
Zainfekowane pliki php zawierają kod base64 - musisz to pousuwać, lub podmienić z kopii zapasowej, lub czystej wersji WP.
Ja miałem swego czasu sporo takich infekcji w joomli. Pomogło