Link injection spam

skogtrollet

Medlem
Har ikke mye erfaring med dette. Men mine første tanker:

Det at koden kommer tilbake etter man har tatt dem vekk, betyr at den slemme koden har blitt kjørt på nytt. Og hvem har kjørt koden?

Dersom koden ligger i en php fil, vil koden bli kjørt hver gang noen requester koden. Så dersom den slemme koden ligger i en plugin fil, vil koden følgelig bli kjørt hver gang noen besøker nettsiden din.

Et annet alternativ er at hele webhosten er hacka, og at spammeren har tilgang på alle websider hos serveren.

Det kan også skyldes at ftp eller database passord er stjålet.

Det jeg tror er mest sansynlig er at det ligger en slem kode etsted i en php fil. Da nytter det ikke å kun gå igjennom wordpress filene, fordi den slemme koden kan ligge andre steder.

Dersom den slemme koden ikke ligger i wordpress, kan en jo spørre seg hvem som kjører koden?

Antakeligvis er det spammeren som har et program som går igjennom alle nettsidene den har infisert. Hvis det ligger slem kode i /images/lol/deep/hallo.php, så er det bare å besøke denne adressen, så er koden tilbake øverst i html filene dine.

Det man må gjøre er å få et program til å søke igjennom ALLE filer på nettstedet ditt. Alle som er synlige i www ihvertfall. Som sagt er den slemme php koden helt sikkert kryptert. Da har jeg et forslag. Du søker igjennom alle filer for følgende streng:
Kode:
<?php
Da vil du få opp noen hundrede linjer som inneholder den strengen, så ser du bare etter noe kryptert. Det fins linux kommandoer for dette.( som jeg ikke kan).

Men jeg bare synser her nå, har aldri vært borti lignende.

Det man også burde spørre seg, er hvordan kom den slemme koden inn på systemet? Det er 90% pga en exploit/bug i noen script du kjører. Gamle wordpress versjoner har slike bugs. Likeledes med andre cms/php-systemet.
 
Topp