Fertőzés és törlése

**AnagyZ** · 2012-03-01, 14:35

Adott tárhelyen fertőződtek a fájlok 3 nyilván kitaláljátok melyikek: index footer header

Ha valaki írt esetleg olyat amivel adott kódrészlet törölhető a fájlokból szívesen venném, minden fájban ugyanaz a kódolt részlet van.

Hasonló témák:

**Chati** · 2012-03-01, 14:47

Én is ezzel szívok...
Ráadásul egy olyan kódolt részlet kerül bele, ami csak a Google keresőből érkező látogatókat irányítja más oldalakra... a linken keresztül vagy az oldal címét beírókat nem érinti...

Én manuálisan írom át (WP oldalnál nem sok, de Joomla-nál már szívás), az érintett fájlokat meg a módosítás dátuma szerint könnyű megtalálni...

**0xFF** · 2012-03-01, 14:49

Először is készíts egy másolatot a fileokról majd

find /home/user/domain/public_html -type f -exec sed -i 's/MIT/MIRE/g' {} \;

Vagy ha sok a / jel a kicserélendő szövegben akkor

find /home/user/domain/public_html -type f -exec sed -i 's~MIT~MIRE~g' {} \;

**AnagyZ** · 2012-03-01, 14:53

ezen a tárhelyen kb 100 oldal van joomla és wp vegyesen

ajjaj a .htaccess-ek is fertőződtek

**boya** · 2012-03-01, 15:02

Mentésből visszaállítani?

**benedictus** · 2012-03-01, 15:07

vagy felülírni a cms gyári fájljaival...

**gzoli** · 2012-03-01, 16:23

Első körben az FTP jelszavadat változtasd meg, és ne mentsd el TC-be, vagy FZ-be se. Elég kellemetlen, ha átírod, és egy bot újra végig megy rajta

**g-easy** · 2012-03-01, 16:42

Nem rég mi is benne voltunk ebben, az entity is meg a yox fórum is. Mint kiderül a vbseo egy hibáját használták ki és töltötték fel a kódrészletet. Ha google-ből klikkeltek, akkor egy dolartade.com, vagy egy url rövidítőre tett, ráadásul aki adblockot használt, azt egy adblock letiltása szükséges üzenethez. Itt a teljes vbseo törlés, uninstall és a javított változat újra feltöltése és telepítése segített. Viszont a sok back gombra pár napig rá is ment az authority státuszunk a "seo fórum" -ra keresve.

A lényeg, hogy valószínűleg valamelyik plugin/komponens termék hibája miatt sikerült feltölteni. Jó eséllyel az egyesével törlés és újratelepítés ott is segít. De az csak átmeneti, ha nem javítja a plugin/komponens gyártója a hibát.

**AnagyZ** · 2012-03-01, 17:09

Egy régi wp volt a kapu, azon keresztül másztak be.

**djarni** · 2012-03-01, 19:51

Konkrétan milyen verziójú wordpress-en hatoltak be? Nekem számtalan régi 2.6., 2.7, 2.8-as wp-n vam, amihez évek óta nem nyúltam hozzá. Megjegyzem egyik sem fertőzött szerencsére.

Arni