Wp strani, ki jih hostam delajo čudne redirecte!

7 naročnikov

Živjo,
torej imam problem, včeraj ko sem na eni od od domen, na katerih je naložen WP, naložil temo, naredil par strani. Ko pa sem strani ki sem jih ustvaril hotel odpreti pa kar naenkrat naletim na recirect na instant-online-refills.com :O??? Kaj za vraga se to dogaja? Si rečem ok, prišlo je do neke napake, odprem drugo stran se logiram v WP uredim post, ga hočem previewat in spet instant-online-refills.com ... deluje mi kot nekakšen čuden virus, uglavnem katero koli stran na katerikoli domeni ki je na istem hostingu odprem me recirecta na omenjen link...

Zelo čudno, kdo ve kaj več? Priporočate da raje kontaktiram hosting support?

Hvala!

Misliti ali vedeti

Razišči, ker drugače se ti bo ponovilo.

V theme fajlih sm najdu takele vrstice base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"

je to to ki naj bi ogrožalo zadevo?

http://www.base64decode.org

Pa dekodiraj tisti hash, ki je vmes in noš točno videl kaj dela

Hvala za pomoč ampak sem problem odkril tudi na strani kjer nimam te teme, tako da to verjetno ni problem :)

Vsi httaccesi od vseh strani na hostingu so se spremenili v tisto zmešnjavo ki sem jo prej postu :O

Preveri:
- ali je Wordpress zadnje verzije
- ali so vsi vtičniki zadnje verzije
- da nimaš na svojem računalniku kakšnega virusa

Nulled / torrent teme prinesejo marsikatero svinjarijo sicer s seboj, tako da jih velja temeljito pregledati, preden se jih nalaga na strežnik.

Če med obema Wordpressoma, ki ju imaš okužena, ni skupnih točk razen tebe, je čisto možno, da imaš okužen računalnik. Virusi se znajo razmnoževati tudi preko tvojega FTP odjemalca, če imaš v njem shranjena gesla.

S tem ko omenjaš "vse strani na hostingu" - so to vse strani na strežniku ali vse strani na tvojem paketu gostovanja? Je kar velika razlika.

Ja wordpressi so bili močno outdatani, kar velja tudi za vtičnike itd. uglavnem na hosting supportu so mi naredili scan in odkrili mnogo okuženih datotek, sedaj sem jih zbrisal ampak to kar so mi oni našli se sploh ni navezovalo na ta problem ki ga imam z redirecti iz htaccessa.

Vse strani imam na istem paketu gostovanja.

Kako pa pregledam oz na kaj naj bi bil pozoren pri pregledu teh nulled tem in pluginov?

Opazil sem tudi da "zdrave" strani imajo le en .htaccess file v main folderju, "nezdrave" jih imajo po vseh podmapah, seveda to te ukuženi .htaccessi z redirecti.

Kaj to pomeni? Da najbolje da tiste iz podmap zbrišem ali jih spremenim v normalne?

.htaccess je prav tako povezan z okužbo, ne samo .PHP datoteke. Na stran se ti preprosto naloži več različnih zlonamernih aplikacij:
- določene skrbijo za to, da promet preusmerjajo na druge strani
- določene DDOS-ajo / napadajo naprej druge strežnike
- določene razpošiljajo SPAM pošto
- določene kradejo osebne in bančne podatke (phishing)
- itd.

Pri napadu v tej meri je preprosto treba pregledati celoten paket, ponavadi ročno.
Če imaš dostop do paketa preko SSH, lahko pogledaš zadnje spremenjene datoteke (ali pa stori to namesto tebe administrator), vendar je dostikrat ta pristop nezanesljiv, če si medtem posodobil Wordpress.

Če z interneta dobiš 'nulled' temo / dodatke, ni druge možnosti za pregled kot ročni pregled kode. Kakšen antivirus bi ti mogoče zaznal zlonamerno kodo (npr. MSE določene zazna), večina pa žal ne. Okužba se ponavadi pojavi šele na strežniku in še to ponavadi šele po določenem času, ne takoj.

Mi je administator poslal listo z okuženimi datotekami. Sem jih počitil. Vendar .htaccess fajlov v katerih je ta redeirect ni omenjal, mi pa nikakor ne zna razložiti kaj naj naredim z temi htaccess fajli, naj jih tiste ki so v podmapah zbrišem, ali naredim prazne...?

Ja, to razumem da je treba ročno skozi kodo teme ampak na kaj pa biti pozoen, na base64?