• Moi

    Joku perhanan mömmö on änkenyt systeemiin sisälle, eikä ole hajuakaan miten tukkisin sen. Google ei tykännyt, että sivun lähdekoodissa ennen <html> tagia löytyi tämä:

    <i frame src="http ://geg2gsxhsh.co . cc/ QQkFBg0AAQ0MBA0DEkcJBQY
    NAwcCAQMMAw== " width="1" height="1">

    varmuuden välttämiseksi linkkiin on ripoteltu välilyöntejä…

    Googlettelun perusteella vaihdoin ensimmäiseksi tyylin, disabloin muutaman pluginin (yksi pdf-viewer, tietokannan backuppia ja kaikki ns. tarpeettomat), muutin config-tiedostoon se tekstit ja vaihdoin adminin, eli oman tunnukseni, salasanan ja käskin wordpressin asentaa uudestaan tiedostonsa. Ei auttanut. Neljästä kuuteen tuntiin ja tuo pöpö iskee uudestaan. Viimeinen tänään tehty operaatio oli poistaa kaikki muut paitsi /katiska ja uploadata wordpressin tiedostot käsin. En ole vielä poistanut käytöstä kaikkia plugineja, koska periaatteessa tarvitsen niitä. Ja jos disabloin kaikki ja ongelma poistuu, niin mitä sitten? Pistetään päälle yksi kerrallaan ja katsotaan koska ongelmat alkavat uudestaan?

    Riittääkö muuten pluginin ottaminen ”pois päältä”, vai täytyyko kaikki php:t poistaa ihan fyysisestikin?

    Alunperin tuo iski http://www.jakkelehtonen.fi/katiska/ ja viime yönä saastui myös /sokeapiste ja /catch22 – muut domainilla olevat blogini. Nyt en tiedä, onko tuo seuraus, vai löytyykö noistakin joku aukko.

    Noilla ei ole paljoakaan yhteistä – määrätyt ”peruspluginit”, esim. akismet, wp:n tilastot, mce jne.

    Hiukan ihmetyttää myös Akismetin käyttäytyminen, alkoi samoihin aikoihin. Se nimittäin haluaa pari kertaa päivässä päivittää itsensä, ja aina samaan versioon – muistaakseni 2.5.3. Yrittääkö joku rampauttaa akismetin, eikö päivitys vaan onnistu vai onko tuossa vikaavikaa?

    Nyt olisin hyvien ideoiden tarpeessa – miten selvittää syyllinen ja sulkea aukot.

Esillä 7 vastausta, 1 - 7 (kaikkiaan 7)
  • Thread Starter JakkeL

    (@jakkel)

    Ai niin. Lisäksi Google valittaa tästäkin:
    Kun verkkopalvelin saa pyynnön, jota se ei voi käsitellä, se palauttaa mallien pohjalta luotuja virhesivuja. Google löysi näiltä virhesivuilta haitallista sisältöä. Palvelimesi virhemallit ovat luultavasti altistuneet haittaohjelmalle.

    Thread Starter JakkeL

    (@jakkel)

    Voisihan nämä kaikki yhteenkiin postaukseen kirjoittaa…

    /katiska alle oli myös asennettu verkkokauppa. Nimeä en nyt saa päähäni, mutta tämä ymmärtääkseni yleisin. Lisäksi plugin, jonka piti ympätä yhteen wordpress ja kauppa. Tuo oli testausta ja leikkimistä, en ole koskenut siihen pariin kuukauteen, ja kielsin kaupan näkymisen blogin puolella. Nyt sitten selvisi, että se oli täynnä viagra ym. mainosta, eli sekin on vuotanut kuin seula.

    Nyt se on poistettu kokonaan.

    Taas kerran, syy vai seuraus?

    Sivusi on hakkeroitu. Tässä yleisiä neuvoja pulmaan:

    http://hpguru.net/onko-sinun-wordpress-hakkeroitu/

    Kirjoitin tuon joskus vuosi-pari sitten.

    Thread Starter JakkeL

    (@jakkel)

    Jep, eli uusi asennus puhtaalle pöydälle.

    Mutta yksi asia mietityttää: jostainhan on sisään tultu. Kun nyt asennan kaiken uudestaan, niin eikö sama ovi jää kuitenkin auki?

    No, alkaa kuitenkin näyttää siltä, että ongelma oli tosiaan oscommerce ja/tai siihen ympätty wp-plugin. Enkä näköjään ole yksin. Pengoin tuossa liudan wp:n premium-teemoja myyviä saitteja ja pari tuli vastaan, jotka saivat minun päässäni vilkkuvalot ja sireenit soimaan, hirveän tutun oloista osoitetta yrittivät iframen kautta tunkea.

    Thread Starter JakkeL

    (@jakkel)

    Möröt loppuivat kun yhteys oscommercen ja wordpressin välillä katkesi. Tai kun oscommerce lähti bittitaivaaseen. Tiedä sitten kumpi, koska molemmat tapahtuivat samaan aikaan.

    Joten case closed tällä kertaa ja kiitos hyvästä linkistä!

    Hyvä kuulla, että ratkesi.

    Turkkilaiset hakkerit väänsivät etusivun yhdestä sivusta alas pari viikkoa sitten.

Esillä 7 vastausta, 1 - 7 (kaikkiaan 7)
  • The topic ‘Ilmoitettu hyökkäyssivu’ is closed to new replies.