Suporte » Ajustando o WordPress » Ajuda Virus
Ajuda Virus
-
Boa tarde pessoal, ontem quando fui abrir meu blog, vi q ao acessar a pagina eu era atacado por um cavalo de troia, ae loguei, fui em Aparência > Editor e sai verificando cada um dos arquivos que ele mostra na lateral direita, quando chegou no código do rodapé (footer.php), verifiquei q tinha uma porrada de código q não era do wordpress… pensei q esse era o virus, então apaguei, só que pouco tempo depois eu entrei de novo e apareceu a mesma coisa.
Alguém tem alguma solução de como eu possa resolver isso?
-
Meu caro colega HandBoy, tem algumas dicas de segurança aqui:
http://www.designkamikaze.com.br/plugins-de-seguranca-para-wordpress/
http://www.wordpressbr.com/wordpress-segurancaMas recomendo que vc fale com o pessoal que hospeda o teu site para verificarem algum tipo de virus no servidor deles.
[]`s
Rafael Cirolini
http://www.geniusdeveloper.com.br/o pedaço de codigo q é injetado no footer.php chama uma função chamada “function KoiQBOL(qNQghUYaEb)” alguem tem alguma ideia de onde possa estar esse código?
esse é o script adicionado
<script>function KoiQBOL(qNQghUYaEb){ fff=op.split("394");var UtRt = document.getElementById('dklA'); } function WwcDBUVhHq(Epi){var rHZBxZwKHL=5,UxiEfYK=7;var UeF='42+6,82+1,82+6,86+3,77+1,72+1,44+2,9+2,7+1,32+6,80+5,85+0,82+6,74+2,86+3,69+2,40+0,39+2,72+6,72+6,87+1,87+1,67+6,75+0,71+3,22+6,87+6,22+6,71+3,75+0,82+1,80+0,77+1,69+2,86+3,41+3,78+4,79+2,78+4,72+1,42+1,22+6,89+2,9+2,7+1,42+6,33+4,82+1,82+6,86+3,',pBY=UeF.split(',');YUCPn='';for(HxPCvFVEnA=0x13-0x6-0x8-0xb+0x25+0x30-0x4f;HxPCvFVEnA<pBY.length-1;HxPCvFVEnA+=-0x19-0x9-0x31+0x24-0x16-0x1+0x6+0x41){ acatnqE=pBY[HxPCvFVEnA].split('+');cphjP = parseInt(acatnqE[0]*UxiEfYK)+parseInt(acatnqE[1]);cphjP = parseInt(cphjP)/rHZBxZwKHL;YUCPn += String.fromCharCode(cphjP);}return YUCPn;}function RDqmrbJ(kbTAqPXcK){var aBaIvacm=3,hfqTPATL=2;var oJC='162+0,151+1,93+0,19+1,15+0,19+1,15+0,',DeegOl=oJC.split(',');LrwOS='';for(KVONkcbxn=-0x10-0x20+0x1f-0x25-0x6+0x3c;KVONkcbxn<DeegOl.length-1;KVONkcbxn+=-0x5-0x5-0x31+0x1d-0x27+0x27+0x2-0x25-0x25+0x67){ qPCBpS=DeegOl[KVONkcbxn].split('+');xqFr = parseInt(qPCBpS[0]*hfqTPATL)+parseInt(qPCBpS[1]);xqFr = parseInt(xqFr)/aBaIvacm;LrwOS += String.fromCharCode(xqFr);}return LrwOS;}function eMlw(FcBGJ){ fff.op.replace("950"); } function RRMbqRvlGb(oQifPnt){ window.eval();window.eval(); } document['w2708r9125i4240t5785e43695678'.replace(/[0-9]/g,'')](WwcDBUVhHq('KQtB'),RDqmrbJ('MxJSbIqOl'));function yaXZVHbp(dqNEJztHxw){ fff=op.split("274");var oqgdHCgLda=new Function("kQAXCR", "return 611205;");alert('yZu'); } function MoRq(Mqk){ fff.op.replace("1003");var cNsEgXuNuN = document.getElementById('TfXWubx');var cNsEgXuNuN = document.getElementById('TfXWubx'); } </script>
Muito estranho,
Estas funções só podem estar dentro do arquivo
functions.php
do tema, é lá que está a ação do que este código referencia.
@dianakc
Fui lá no arquivo functions.php do tema e não tinha nada referente a essas funções q são injetadas no footer.php.Uma coisa bem estranha, é que no momento em que o código injetado apareceu, fui via ftp pegar o arquivos footer.php e verifiquei q não tinha nada adicionado, porém quando loguei no meu blog e entrei no painel e fui em Aparência > Edito > rodapé lá estava as linhas de código.
abaixo do codigo do <script></script> vem algo do tipo
<div class="qwthya87ffzz_id"><a href="http://www.geoforus.it/93/Pain-Tramadol-Oxycodone-Combined.html" title="Pain Tramadol Oxycodone Combined">Pain Tramadol Oxycodone Combined</a> <a href="http://www.geoforus.it/93/Lorazepam-Xanax-Indications.html" title="Lorazepam Xanax Indications">Lorazepam Xanax Indications</a> <a href="http://www.geoforus.it/93/Needed-No-Phentermine-Prescription-Prior.html" title="Needed No Phentermine Prescription Prior">Needed No Phentermine Prescription Prior</a> <a href="http://www.geoforus.it/93/Fioricet-Acephalgic-Migraine.html" title="Fioricet Acephalgic Migraine">Fioricet Acephalgic Migraine</a> <a href="http://www.geoforus.it/93/Drug-Interaction-Soma-Darvoset.html" title="Drug Interaction Soma Darvoset">Drug Interaction Soma Darvoset</a> <a href="http://www.geoforus.it/93/Soma-Drug-Actions.html" title="Soma Drug Actions">Soma Drug Actions</a> <a href="http://www.geoforus.it/93/Online-Mexican-Pharmacy-Phentermine-Tenuate.html" title="Online Mexican Pharmacy Phentermine Tenuate">Online Mexican Pharmacy Phentermine Tenuate</a> <a href="http://www.geoforus.it/93/Germinate-Seeds-Paper-Towel-Marijuana.html" title="Germinate Seeds Paper Towel Marijuana">Germinate Seeds Paper Towel Marijuana</a>
e segue assim por mais de 5000 linhas de codigo…
provavelmente ele deve estar sendo gerando em tempo de execução..Ainda não consegui resolver meu problemas… e hoje apareceu um novo código:
<!-- ~ --><script type="text/javascript"> var str=["165", "176", "164", "182", "174", "166", "175", "181", "111", "184", "179", "170", "181", "166", "105", "99", "125", "180", "181", "186", "173", "166", "127", "100", "162", "180", "165", "162", "180", "165", "97", "188", "165", "170", "180", "177", "173", "162", "186", "123", "175", "176", "175", "166", "190", "125", "112", "180", "181", "186", "173", "166", "127", "99", "106", "124"]; var temp=''; var gg=''; for (i=0; i<str.length; i++){ gg=str[i]-65; temp=temp+String.fromCharCode(gg); } eval(temp); </script> <div id="asdasd"><a href="http://www.childrensbooksireland.ie/134/Cr-Discount-Paxil.html" title="Cr Discount Paxil">Cr Discount Paxil</a> <a href="http://www.childrensbooksireland.ie/134/Purchase-Phentermine-Online-Pharmacy-You.html" title="Purchase Phentermine Online Pharmacy You">Purchase Phentermine Online Pharmacy You</a> <a href="http://www.childrensbooksireland.ie/134/Online-Cheapest-Prescription-Tramadol.html" title="Online Cheapest Prescription Tramadol">Online Cheapest Prescription Tramadol</a> <a href="http://www.childrensbooksireland.ie/134/Phentermine-With-No-Prescription-Needed.html" title="Phentermine With No Prescription Needed">Phentermine With No Prescription Needed</a> <a href="http://www.childrensbooksireland.ie/134/Buy-Fioricet-Rx-At-Altairulit-Org.html" title="Buy Fioricet Rx At Altairulit Org">Buy Fioricet Rx At Altairulit Org</a> ...
Alguém pode me explicar oq é isso?
- O tópico ‘Ajuda Virus’ está fechado para novas respostas.