Home › Forum › Problemi Vari con WP › Codice malevolo nel blog
-
AutorePost
-
-
22 Marzo 2009 alle 21:01 #9899marcotaddiaPartecipante
Oggi mi sono trovato nel mio blog una cartella che non avevo mai creato con dentro un php che sembrava fatto apposta per recuperare password dagli utenti, ho notato poi che il file principale index era stato modificato con permessi di scrittura e lettura per tutti e il file .htaccess era stato cancellato del suo contenuto.
Solo che non ho capito come mai questo sia capitato, ho la versione di WP aggiornata alla 2.7.1, i temi sono sicuri poiché vi ho messo mano io e ho solo 2 plugin che non uso non aggiornati.
Qualcuno mi potrebbe dare qualche info in più?
Grazie.
P.S. qualcuno poi potrebbe consigliarmi un plugin per usare una comunicazione ssl in fase di login al blog? L’avevo visto ma ora non lo trovo più.
-
22 Marzo 2009 alle 21:11 #64033wollyAmministratore del forum
la 2.7 già prevede la possibilità di accedere in https all’amministrazione.
Il perchè ik tuo blog sia compromesso non si può dire cosଠsu due piedi, magari era già compromesso con le vecchie versioni a meno che tu non abbia sempre prontamente aggiornato, oppure il tuo tema è stato scaricto da siti non affidabili e contiene il codice malevolo, controlla in functions.php, header.php e footer.php normalmente è li che mettono le schifezze.
-
22 Marzo 2009 alle 21:38 #64034marcotaddiaPartecipante
Dove posso trovare info per abilitare l’opzione https?
Perché non l’ho trovata da nessuna parte.
Io solitamente quando aggiorno sostituisco direttamente i file con quelli nuovi, non li sovrascrivo e il config.php lo rifaccio di volta in volta.
I temi forse non provenivano da siti sicuri, ma sono lଠda anni ormai e avendoli modificati pesantemente io a mano, posso affermare di non aver trovato nulla di strano.
L’unica cosa, magari trovassi una guida per controllare bene il mio .htaccess, perché lଠposso forse non aver fatto cose corrette perché non ho capito benissimo il funzionamento.
Intato grazie wolly
-
22 Marzo 2009 alle 22:05 #64035wollyAmministratore del forum
per il secure login http://codex.wordpress.org/Administration_Over_SSL
per il resto non esiste documentazione, è necessario spulciare fiel per file il tema, i plugin e il database.
-
22 Marzo 2009 alle 22:25 #64036LvcanvsPartecipante
Scusate se entro nella discussione, ma volevo aprirne una “identica”. Da oggi oltre alle tre cartelle “classiche” (wp-admin, wp-content e wp-includes) ne appare una terza di nome “apnep” che contiene un file php ed un altro file senza estensione… dato che le modifiche al sito sono state parecchie non si può dire se dipenda da me o meno… ma andando a esperienza si può dire qualcosa? Se necessario posterò il codice del php con pastebin.
-
23 Marzo 2009 alle 0:02 #64037wollyAmministratore del forum
metti il codice su pastebin
-
23 Marzo 2009 alle 1:41 #64038marcotaddiaPartecipante
Grazie wolly, domani con più calma inizio a fare i dovuti controlli.
Nel DB cosa bisogna cercare? Ovviamente un circa.
lvcanvs è esattamente quello che è successo a me. Per modifiche al sito cosa intendi? Indipendenti dalla tua volontà ?
-
23 Marzo 2009 alle 8:59 #64047marcotaddiaPartecipante
Ho provato ad abilitare ssl login, ma non cambia nulla.
Ho modificato sia l’.htaccess che il config, ma non si lucchetta nulla.
Non capisco dove sbaglio.
Riguardo il codice malevolo l’ho inserito su pastebin.
-
23 Marzo 2009 alle 9:22 #64049LvcanvsPartecipante
Posto qui il codice del file che si chiama uoq.php.
Marco, ho avuto il sospetto che si trattasse della stessa cosa perchè aprendo il file senza estensione (si chiama “m”) con il blocco note c’era solo la scritta “index.php”. Ho controllato i permessi di “Index.php” ed erano a 777 (permessi di esecuzione e scrittura per tutti).
In merito alle modifiche mi sono spiegato male: intendevo dire che io ho volutamente fatto parecche modifiche nell’ultimo periodo (sia di plugin, modifiche in php etc) e quindi sarebbe stato impossibile stabilire se la nuova cartella fosse apparsa dopo una modifica specifica che ho fatto… ora invece sembra che non sia “colpa” mia.
Il DB l’ho già rivoltato come un calzino ma non ho trovato nulla che mi insospettisce… l’.htaccess me lo vado a vedere adesso.
EDIT: ho postato lo stesso codice di Marco.
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.