Nem tudom mi a baja az oldal RSS-ének. Az tuti, hogy valamiféle hack áldozata lett, ami csak Google Reader-ben, és iGoogle-ben jelentkezik, de ennél jobban nem tudom behatárolni a hiba okát. Már körbeírtam a magyar–angol WordPress-t, a Google Reader fórumját, a FeedBurnerét is, de senki nem tud semmi érdemlegeset mondani. Már nincs admin nevű userem, megváltoztattam az FTP- és az admin jelszavakat, átírtam a .htaccess file-t, leoptimalizáltattam egy pluginnel a feedemet, újraraktam a WordPress-t(!), kipróbáltam mindent… és semmi hatás.
Ezúton szeretném közhírré tétetni, hogy ha olvassa ezt olyan php/rss/wp-guru, aki szívesen utánanézne a problémámnak (csak emlékeztetőül: Google Reader-ben kattintva bármelyik linkre amelyik elvileg az oldalra visz vissza az elirányít a http://p3p0.com/?said=3333g&q=facebook-ra, vagy rosszabb esetben egy bejelentett támadó-webhelyre), attól szívesen fogadnám, ha rámírna a jonc[kukac]raktalicska.hu címen, és felvenném MSN-re. Természetesen nem várom el ingyen az erőfeszítéseit, siker esetén fizetek, mint a katonatiszt!
Ja, és ez nem valami szarul elsütött SEO-trükk, de légyszi ha ismertek ilyen szakembert küldjétek el neki ennek az oldalnak a linkjét! Köszönöm!
UPDATE:
HATALMAS nagy riszpekt bachterman-nak, aki egy mai (16.) kommentjében belinkelt két oldalt, amelyek segíthetnek. Bár Joomla-s fórum volt az egyik, mégis ott találtam egy tippet, ami alapján elindulhattam:
Thanks
I found this code in the defines file (includes/defines.php) and removed it and it fixed the issue… should I keep any of it, I deleted the whole line of code from line 14
*/ eval(base64_decode(„CglpZiAoc3R[removed]p9Cgk=”));
Letöltöttem az összes php/css/js file-t a szerverről a gépemre, rájuk szabadítottam a Total Commander keresőfunckióját úgy hogy szövegre keressen, mégpedig erre: ‘eval(base64’, és láss csodát… talált is ilyet, mégpedig a config.php file-ban!
Ezt tessék figyelni:
ez egy alap config.php eleje, amit a WordPress rak fel:
<?php
/**
* The base configurations of the WordPress.
*
* This file has the following configurations: MySQL settings, Table Prefix,
* Secret Keys, WordPress Language, and ABSPATH. You can find more information by
* visiting {@link http://codex.wordpress.org/Editing_wp-config.php Editing
* wp-config.php} Codex page. You can get the MySQL settings from your web host.
*
* This file is used by the wp-config.php creation script during the
* installation. You don't have to use the web site, you can just copy this file
* to "wp-config.php" and fill in the values.
Ez pedig az, amit én találtam a szerveremen:
<?php eval(base64_decode("CglpZiAoc(blablabla)wp9Cgk="));
/**
* The base configurations of the WordPress.
*
* This file has the following configurations: MySQL settings, Table Prefix,
* Secret Keys, WordPress Language, and ABSPATH. You can find more information by
* visiting {@link http://codex.wordpress.org/Editing_wp-config.php Editing
* wp-config.php} Codex page. You can get the MySQL settings from your web host.
*
* This file is used by the wp-config.php creation script during the
* installation. You don't have to use the web site, you can just copy this file
* to "wp-config.php" and fill in the values.
A különbséget zongorázni lehet, ugye? 🙂 A fenti – valamilyen módon odakerült (amúgy jóval hosszabb, csak megcsonkítottam a rohadékot), ráadásul base64-be kódolt káros kód eltávolítása után újra rendeltetés-szerűen működik a feed-em! Még egyszer köszönöm a segítséget bachterman! 🙂
UPDATE2:
átküldtem ThomAce néven futó kollegámnak a fenti káros kódot, aki visszafejtette nekem. A következő beszélgetés zajlott le közöttünk (vastaggal én, simával ő):
!stristr($_SERVER[HTTP_REFERER],”inurl”)){
Nem lehet, hogy nem benned van a hiba?
nem hinném… egész egyszerűen nem értek hozzá, bár lehet, hogy egy hozzáértőt is megizzasztana a kérdés. majd elválik, meghirdettem a „munkalehetőséget” a magyar WP-fórumon, ott hemzsegnek a pénzéhes guruk 🙂
Én nem tapasztaltam az említett átirányítást a Readerben sem Firefoxszal, sem Chrome-mal böngészve.
Viszont Chrome-ból általában nem sikerül hozzászólnom a bejegyzéshez, azt írja, hogy túl gyorsan kattintok. 😐
mindkét észrevételed érdekes 🙂 én több gépen is próbáltam (Opera és FF alól), és mindig átirányított ez a rohadék. a Chrome-os problémának utánanézek, hátha van valami változó a kommentkezelő pluginben, amit átírva nem fog hisztizni!
no tehát. két dolog is.
első: próbálj meg virtuális gép alól próbálkozni, hátha valami rootkit-ed van a gépen. vagy másvalakitől.
a második: a blog teljes lementett tartalmát (sql és file-ok) totálkommanderrel nézesd meg (alt+f7, keresés file-okban), hogy tartalmaznak-e ilyen p3p0 szöveget.
még apróságok: http://3.ly/Z8R6 és http://3.ly/VHeB
de amúgy egy popó-s google keresés elég sok találatot ad ki, hogy elindulhass.
ingyen tanács, fogadd meg. 🙂
ember!
leborulok előtted! 😀
a config.php file-ban volt egy kis bekódolt cuccocska, aminek nem kellett volna ott lennie! HATALMAS köszönet, és hála neked! majdnem egy heti idegeskedésemet szüntetted meg ezzel a két linkkel! mivel tudnám kifejezni a hálámat?
Pénzéhes guruk…
pénzzel? 😀 😀
és azon kívül? 😀 😀
Ez van. A base64 nem egy visszafejthetetlen mime encoding technológia. Wikipedia-n van egy angol leírás, ami megfelelően taglalja, hogy mire is használjuk. A PHP eval függvényről most nem kívánok értekezni. Hajará JonC! Hajará! 🙂
ugyan már.
Nézd át a theme foldered is, nekem a multkor a header.phpba taknyolt bele egy malware, szimplán beillesztett egy et. A másik esetben pedig a wp-includesben a tinyMCE-t támadta be.
Ha ilyen redirect para van legtöbb esetben valamilyen malware okozza.
pénzéhes lol… ha mindenki ingyen dolgozna kihalna az emberiség
ja hehe, comment kivágta a lényeget.. szóval beillesztett egy j.a.v.a.s.c.r.i.p.t-et
köszi a tippeket! malware alatt azt érted, hogy az a gép fertőzött, ahonnan pl ftp-vel kapcsolódni szoktam a tárhelyemhez?
lehet rossz a meghatározásom rá, inkább úgy mondom, hogy velem történt nemrégiben olyan hogy valami malware spyware akármiware bejött a gépre ellopta az FTP fiókokat majd felcsatlakozott (hála az egyszerű ftp jelszavaknak a bot kitalálta) és felrakott eleinte sak az index.html végére iframet, aztán legutóbb js-t. ezeket kitörölve megoldódik a probléma, bár mivel te újratelepítetted a teljes WP-t az includes ebben az esetben felülíródik, hacsak eleve nem fertőzött az eredeti WP-d is.
csak tán nem az, mivel az adminfelület Eszközök menüpontjában található Frissítés segítségével csináltam, az meg a WordPress tárhelyéről húzza le a frisset 🙂
Talán most már nem lesz ilyesmi, tényleg megváltoztattam az ftp-jelszót (is), úgyhogy lényegesen kisebb esélyt adok a jövőben az ilyesminek. meglehetősen bosszantó volt, nem akarom még egyszer átélni 🙂
ja ez csak saját gépről felmásolva érvényes:)
képzelheted milyen ideges voltam amikor 3 siteot támadott be és teleköpte Code Igniter mappákat (ahol mindegyik mappában volt egy index.html arra ez esetre ha valaki böngészőből szeretne könyvtárakban garázdálkodni) és szépen pucolhattam ki egyesével a fileokat…