Er bloggen min hacket, eller?

[Magnus Tangen]

Sliter med et merkelig fenomen på den ene bloggen min. Når noen åpner en bloggpost etter treff ved søk, åpnes en helt annen side (av typen "folk-med-lite-klær". Trykker man tilbake og prøver en gang til, kommer bloggposten frem. Noen som har opplevd noe lignende? Det er forrøvrig en WP-blogg.

 

[Mr Vest]

En liten sak er at det kunne være en fordel med en link til bloggen det gjelder. Da er det litt enklere for oss og se om vi får samme resultat, og dersom vi ikke gjør det kan vi jo tro at det også kan være noen form for styggvare hos vedkommende som opplever dette.

 

[Magnus Tangen]

Jepp, det er nyhetskommentar(dått)com
Fenomenet oppstår ved eks. google-søk der mine poster dukker opp. Prøv eksempelvis å søk på: funny little world lucky

 

[testdriver]

Jeg fikk opp riktig post på det søket, tror jeg. "ALEXANDER RYBAKS “FUNNY LITTLE WORLD” VS JASON MRAZ OG “LUCKY”"

Men du kan jo sjekke om det er noe tull med .htaccess.

 

[picxx]

Jeg kom første gang til en 404 side på en eller annen UI side.
Gikk tilbake og trykket igjen, og kom lett inn på posten.
Kikket gjennom kildekoden din, men fant ikke noe sånn fort og gæli der.
Det du kan gjøre er å sjekke filene single.php header.php og footer.php for evt. ting som ikke skal være der og "oppgrader" etterpå wp (slett wp-admin og wp-includes og skriv over med nye filer.)
Da skal du være rimelig sikker på at det ikke er noe på siden din.
(Kan jo fremdeles enten være i db eller i en av innstikkene, men mest sannsynlig er det en eller annen badware på brukernes maskin)
Startet akkurat en virusscan og har allerede funnet en trojaner...faen å lei jeg er av virus.

 

[Magnus Tangen]

Ble oppmerksom på problemet da jeg fikk en epost av en som hadde opplevd fenomenet, og jeg opplevde det samme på min PC (firefox). Jeg er ganske så hjelpeløs når det gjelder det tekniske og må derfor spørre om hvordan jeg ser om det er "noe tull med .htaccess"?

 

[Magnus Tangen]

Takk picxx. Skal sjekke dem!

 

[picxx]

Husk å sjekk filene i både det designet du bruker+default design om du har det liggende.

 

[Mr Vest]

Jeg ble sendt direkte til Porntube.com eller slikt noe lignende greier når jeg klikket meg inn på linken mot bloggen din, og på andre forsøk fungerte det hele som det skulle.

Derimot har det dukket opp noe styggfarlige greier altså, som jeg vil anbefale de fleste av dere og lese. Du skal ikke se bort ifra at det er dette som har smittet bloggen din.

 

[gano]

<script type="text/javascript">
window.google_analytics_uacct = "UA-3303860-8";
</script>

Fant dette i toppen av koden. Det skal mest sannsynlig ikke være der - du har en tilsynelatende korrekt analytics-kode lengre ned.

Last opp header.php på nytt. Uansett, så bør du oppgradere Wordpress. Versjon 2.6 er full av sikkerhetshull.

 

[picxx]

Derimot har det dukket opp noe styggfarlige greier altså, som jeg vil anbefale de fleste av dere og lese. Du skal ikke se bort ifra at det er dette som har smittet bloggen din.

Tallet digi opererer med er alt, alt for lite.
Jeg alene har vel fjernet denne dritten fra ihvertfall 30 sider i løpet av de siste to ukene. Samtidig har jeg også snakket med flere som faktisk også har fjernet det fra sine sider og gud vet hvor mange sider som er smittet uten at eier er oppmerksom på det.
Min teori er at det også smitter sider på samme server, da jeg ble smittet på en hel drøss med sider jeg ikke har vært inne på på mange mnd.
Det smitter også ved at f.eks. din pc blir smittet, du jobber med filer og laster dem deretter opp til server.
Trojaneren som blir på din pc stjeler også passord på din ftp om du bruker et system som ikke koder dataoverføringen.

 

[Magnus Tangen]

Forstår svært lite av det som foregår. Har oppdatert virusprogram på PC'en, og problemet opplever jeg (heldigvis) bare på en av bloggene.
Har satt inn en ny og ren header-kode (som gano foreslo), men vet ikke om dette hjelper. Dersom dritten sprer seg på serveren, er man jo ganske hjelpeløs.
Takker!

 

[Tonny Kluften]

Det hjalp ikke, ved søk fra google så havner jeg på pornoside.
Du bør laste opp alle themefiler på nytt. Har du redigert php filene på serveren eller på pc?
Hva står det i .htaccess?

 

[gano]

Tror jeg rotet det litt til for deg med min kommentar i sted. Ser nå etter å ha søkt etter den type kode, at det er en såkalt Adsense-Analytics kode. Les mer om den her: https://www.google.com/adsense/support/bin/answer.py?hl=no&answer=94743

Den bør allikevel plasseres innefor html taggen. Ser du har samme kode i toppen av ferieikroatia.com.

 

[Magnus Tangen]

Takk for at du sjekket Tonny! Jeg redigerer på serveren. Skal laste dem opp på nytt!
..og nå har jeg skrevet over de gamle (og muligens infiserte) theme-filene til themet jeg bruker. Tør fremdeles ikke å håpe på at det hjelper.