Home › Forum › Problemi Vari con WP › Problemi di redirect indesiderati
-
AutorePost
-
-
10 Marzo 2009 alle 13:08 #9760CinosuraPartecipante
Salve a tutti,
non so come è potuto succedere ma qualcuno o qualcosa deve avere modificato il mio sito. nella home page compare prima di qualsiasi altra cosa la stringa:
top.location=”http://www.wpskinbase.com/?h=www.salogentis.netsons.org”; /* –>
(salogentis.netsons.org è il dominio del mio sito)
che mi distrugge tutto il template di pagina. Se lo visualizzo tramite firefox non si capisce più niente, IE riesce a visualizzatrmi in maniera efficiente il corpo della pagina ma la testata risulta spostata rispetto alla sua posizione orginale.
Cercando su internet ho visto che questo è l’effetto di un javascript, ma non so dove poterlo cercare o in che modo abbiano potuto inserirlo.
Inoltre ho provato a cambiare tema dal pannello di controllo ma invece di visualizzarmi l’anteprima dei temi disponibili, il browser è rediretto al link contenuto tra virgolette del messaggio che ho postato prima.
Aiutatemi vi prego!!!
-
10 Marzo 2009 alle 18:21 #63635wollyAmministratore del forum
da questo test sembrerebbe che il tuo wordpress sia stato compromesso http://www.ismprofessional.net/pascucci/wp-test.php
verifica anche tu e poi se in effetti è cosଠdevi sanitizzarlo.
-
10 Marzo 2009 alle 18:35 #63637wollyAmministratore del forum
cancella quel tema e scaricane uno nuovo MA NON DA QUEL SITO.
Nel file header.php c’è un richiamoa questa funzione wp_thfree() che è quella che ti crea quegli strani redirect.
Cancellando il tema forse risolvi il problema ma, scrive qualcosa nel data base.
-
11 Marzo 2009 alle 10:55 #63650CinosuraPartecipante
come si sanitizza? il problema non dipende dal tema comuqnue, qualsiasi altro tema da lo stesso problema!
-
11 Marzo 2009 alle 11:06 #63651wollyAmministratore del forum
il problema DERIVA da quel tema che ti ha infettato il database, mi dispiace.
Devi pulire il database per benino ed anche la tua installazione wordpress.
Non è una cosa semplice.
Comunque prima di fare qualsiasi cosa fai un backup del database e della tu directory wp-content.
-
11 Marzo 2009 alle 12:41 #63660CinosuraPartecipante
capisco, potresti indicarmi dei tutorial, delle guide, o altro che possa aiutarmi?
-
11 Marzo 2009 alle 12:57 #63661wollyAmministratore del forum
non ne esistono purtroppo.
-
11 Marzo 2009 alle 13:26 #63662CinosuraPartecipante
comuqnue credo di aver risolto, con un programma, winmerge, ho fatto un confronto tra i file dell’istallazione di wordpress sull’host e quelli di una versione di backup. Sono identici. Quindi ho provveduto a controllare la base di dati ed effettivmanete c’è un script che mi effettua il redirect e mi causa i malfunzionamenti di cui vi parlavo. Basta cancellarlo.
Ad ogni modo grazie a tutti per le preziose informazioni!
-
11 Marzo 2009 alle 13:30 #63663wollyAmministratore del forum
ottimo mi fa molto piacere, però il controllo non farlo su una versione di backup ma scaricati ex novo il pacchetto e verifica con quello.
ciao
-
11 Marzo 2009 alle 14:10 #63664CinosuraPartecipante
ok! grazie!
-
11 Marzo 2009 alle 16:16 #63669Samb1985Partecipante
Anche io ho un problema simile…dove è scritto lo script incriminato ?
-
11 Marzo 2009 alle 16:24 #63670wollyAmministratore del forum
nel tema che hai scaricato, trovi il richiamo della funzione in header.php, la funzione in functions.php e poi c’è del codice ofuscato in footer.php.
Il problema è che quel codice scrive nel database e quindi devi andare a cercarlo anche nel database
-
11 Marzo 2009 alle 16:28 #63671Samb1985Partecipante
Allora ho ripristinato i file del tema con un backup il problema rimane….quindi credo sia nel db…in quale tabella devo cercare ?
-
11 Marzo 2009 alle 16:30 #63672wollyAmministratore del forum
QUEL TEMA DEVI BUTTARLO!!!!!!!! E’ INFETTO L’HAI SCARICATO DA UN SITO NON AFFIDABILE!!!!
-
11 Marzo 2009 alle 16:33 #63673Samb1985Partecipante
ma uso questo tema da 5 mesi e il problema è nato solo oggi ?
-
11 Marzo 2009 alle 16:41 #63674Samb1985Partecipante
<?php wp_thfree(); ?> ho cancellato questo codice dall’header e il problema sembra risolto.
Quella funzione in effetti richiamava il sito wpskinbase.
Io ho questo tema senza problemi da 5 mesi, ho controllato i vari backup e questo richiamo di funziona c’è sempre stato e da problemi solo da oggi pomeriggio. Qualcuno ha una spiegazione ? è infetto solo da oggi ?
Evitando il richiamo della funzione il problema si risolve comunque.
-
11 Marzo 2009 alle 17:41 #63675wollyAmministratore del forum
tu fai come vuoi, io ti ho spiegato i problemi se vuoi rimanere con un tema infetto fai pure.
-
11 Marzo 2009 alle 18:00 #63679Samb1985Partecipante
tu fai come vuoi, io ti ho spiegato i problemi se vuoi rimanere con un tema infetto fai pure.
Dal test sopra non mi rileva problemi. Ora il sito sembra andare bene come gli ultimi 5 mesi.
Il tema che uso dopo averlo scaricato l’ho personalizzato cambiando diverse parti di codice. In effetti quella chiamata di funzione mi era sfuggita, ma non mi sembra che nel codice ci siano altri punti critici.
Il db l’ho controllato e non ci sono tabelle associate a quello script. Per ora lo lascio, se si verificano altri problemi vedrò il da farsi.
-
13 Marzo 2009 alle 7:46 #63721CinosuraPartecipante
la tabella infetta del db è wp_option, cerca tra gli option value una stringa contenente lo script malevolo. Comunque credo che wolly abbia ragione, il problema presentato all’inizio di questo topic si ripropone puntualmente ogni mattina…
-
13 Marzo 2009 alle 8:26 #63722CinosuraPartecipante
Ah dimenticavo…nella maggiorparte dei temi la funzione sopracitata non serve a niente quindi puoi tranquillamente cancellarla. Io ho fatto cosଠe credo di aver risolto definitivamente stavolta.
-
13 Marzo 2009 alle 20:26 #63742Samb1985Partecipante
Io ho cancellato la funzione e la chiamata e il problema è risolto.
Sul db ho controllato e non c’è salvato nulla, neanche su wp_option.
-
13 Marzo 2009 alle 22:34 #63743wollyAmministratore del forum
e il codice ofuscato nel footer?
nel db la funzione scrive quindi cerca bene.
-
14 Marzo 2009 alle 8:16 #63745CinosuraPartecipante
Guarda, da una semplice query neanche io mi ero reso conto della presenza dello script infetto nel databse. Ho esportato il db in fomrato sql e fatto una ricerca testuale più accurata. Posso garantirti che la stringa c’è. Ti conviene eliminare anche quella ovviamente. Nel mio footer non c’è altro codice offuscato. Magari c’era nella versione originale ma poi è stato pesantemente modificato.
-
14 Marzo 2009 alle 8:36 #63747Samb1985Partecipante
Boh non so che dire. Ho riaperto di nuovo la tabella wp_option riga per riga e non c’è nulla di strano. Nel mio caso nel footer non c’è nulla neanche nella versione originale.
Comunque nel mio caso del tema originale è rimasto ben poco ho fatto molte modifiche.
-
30 Novembre 2010 alle 21:47 #79128diegotruccoPartecipante
Salve ragazzi, io ho trovato il codice malevolo solo nel footer ed il tema è il famosissimo mistyque digitlander, ho cercato nei file header e function il codice
<?php wp_thfree(); ?>
ma non l'ho trovato, sapete come posso evitare che riaccada lo stesso problema? ho controllato anche il db in wp-option ma non so cosa cercare come codice malevolo.
Grazie a tutti per l'aiuto.
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.