[erdistfroh]

Hej,
Hade lite problem med en WP sida häromdagen och hittade en mycket skum PHP fil i wp-content/plugins/ mappen. Är inte direkt en programmerare så tänkte så om någon vänlig själv kan ta en titt på filen och ev. se vad den försöker göra?

Filen hette: listing.jquery.php

Tack!

[MusikMixen]

Citat:

Ursprungligen postat av erdistfroh

Hej,
Hade lite problem med en WP sida häromdagen och hittade en mycket skum PHP fil i wp-content/plugins/ mappen. Är inte direkt en programmerare så tänkte så om någon vänlig själv kan ta en titt på filen och ev. se vad den försöker göra?

Filen hette: listing.jquery.php

Tack!

Kör INTE filen, ta bort den så fort som möjligt. Jag skulle köra en decode på den och då skrek antivirusprogram till rätt rejält.

[tartareandesire]

Det är förmodligen en trojan, tar bort länken då den inte bör spridas. Sprid inte gärna sådana länkar på forumet.

[yakuzaemme]

Decodade den och kollade igenom lite. Den verkar ansluta till din databas, köra igenom md5-krypterade lösenord genom de mest största md5-databaserna (md5decrypter, hashcrack osv), zippa datan och sen tappade jag röda tråden, förmodligen posta vidare till hans server eller maila eller dylikt.

Med andra ord, ta bort den

[tartareandesire]

Se till att täppa till säkerhetshålet också, annars är det stor risk att du får tillbaka filen (eller något annat otrevligt) igen vid ett senare tillfälle.

[yakuzaemme]

Med risk att gå off-topic, men saltas WP lösenord? Försöker hålla mig borta från att registrera mig på wordpress-sidor då de oftast drivs av tekniskt okunniga personer som enkelt får lösenord på vift.

[jakoob]

Hur ska man scanna en wp blogg som har blivit hackad eller webhotellkonto? Har så sjukt dålig support på ett webbhotells konto, var är bästa scannern för att se så att allt infekterat är borta?

[tartareandesire]

Citat:

Ursprungligen postat av yakuzaemme

Med risk att gå off-topic, men saltas WP lösenord? Försöker hålla mig borta från att registrera mig på wordpress-sidor då de oftast drivs av tekniskt okunniga personer som enkelt får lösenord på vift.

Wordpress körde tidigare md5 rakt av men numera används phpass så det hänger helt på vilken version som körs. Funktionerna kan däremot alltid skrivas över av olika plugins så man kan aldrig vara säker på hur lösenordet hanteras.

Samma sak gäller som alltid, använd aldrig viktiga lösenord och användarnamn på sidor du inte känner till mycket väl.

[erdistfroh]

Hej,
Vill tacka för alla svar! Förstod direkt att det inte stod rätt till och tog bort den redan innan jag postade här. Försökt hitta någon kunnig nog för att hitta hålet vilket verkar vara lite svårare.

Tack igen.

[0x5A5A5A5A]

För att scanna sajter efter tecken på att skumma saker är kvar rekommenderas sucuri.net.

För att analysera exakt hur de kom in på servern och fixa problemet i koden behövs nog hjälp av en konsult på området