Origineel gepost door Robin L

Heb dit probleem ook eerder voorbij zien komen bij een klant van me en toen gefixed.

Er heeft een hack plaatsgevonden en deze heeft een regel code (volgens mij via eval) ergens boven in (ik denk) de theme files geplaatst. Dit stukje code checkt of er een bepaalde user agent is ingesteld (bijv googlebot), zo ja dan laadt de pagina deze teksten in.

Het beste kan je Wordfence o.i.d. installeren, die vindt het geloof ik vrij gemakkelijk.

Wordfence is geinstalleerd. Nu zie ik inderdaad dat Eval met Base64 temaken heeft. Gelukkig als ik zoek... vind ik nogal een lijst.

Code:

Search "base64_decode" (54 hits in 27 files)
  PAD VAN BESTAND ...\wp-admin\includes\file.php (1 hit)
	Line 539: 		$expected_raw_md5 = base64_decode( $expected_md5 );
  PAD VAN BESTAND ...\wp-content\plugins\gotmls\images\index.php (5 hits)
	Line 87: 	if (function_exists("base64_decode"))
	Line 88: 		return base64_decode($encoded_string);
	Line 563: 	if (function_exists("base64_decode"))
	Line 564: 		$unencoded_string = base64_decode($encoded_string);
	Line 715: 				$tracer_code = "(base64_decode('".base64_encode('if(isset($_SERVER["REMOTE_ADDR"]) && $_SERVER["REMOTE_ADDR"] == "'.$_SERVER["REMOTE_ADDR"].'" && is_file("'.GOTMLS_local_images_path.'../safe-load/trace.php")) {include_once("'.GOTMLS_local_images_path.'../safe-load/trace.php");GOTMLS_debug_trace(__FILE__);}')."'));";
  PAD VAN BESTAND ...\wp-content\plugins\gotmls\index.php (1 hit)
	Line 1511: 			$decode_list = array("Base64" => '/base64_decode\([\'"]([0-9\+\/\=a-z]+)[\'"]\)/', "Hex" => '/(\\\\(x[0-9a-f]{2}|[0-9]{1,3}))/');
  PAD VAN BESTAND ...\wp-content\plugins\gotmls\languages\gotmls-pt_BR.mo (4 hits)
	Line 23: 
	Line 23: 
	Line 30: 
	Line 30: 
  PAD VAN BESTAND ...\wp-content\plugins\gotmls\languages\gotmls-pt_BR.po (4 hits)
	Line 738: msgid "The <b>base64_decode</b> function is currently disabled by the disable_functions Directive in your server's php.ini file.<br />This function is required for this Anti-Malware plugin to work properly.<br />Check the disable_functions Directive in your php.ini and take out base64_decode to fix this problem."
	Line 738: msgid "The <b>base64_decode</b> function is currently disabled by the disable_functions Directive in your server's php.ini file.<br />This function is required for this Anti-Malware plugin to work properly.<br />Check the disable_functions Directive in your php.ini and take out base64_decode to fix this problem."
	Line 739: msgstr "A função <b>base64_decode</b> está desabilitada atualmente pelas diretivas \"disable_functions\" Do seu servidor, no arquivo php.ini.<br />Esta função é requerida para que esse plugin Anti-Malware funcione corretamente<br />Verifique a diretiva disable_functions em seu arquivo php.ini e remova o base64_decode para resolver esse problema."
	Line 739: msgstr "A função <b>base64_decode</b> está desabilitada atualmente pelas diretivas \"disable_functions\" Do seu servidor, no arquivo php.ini.<br />Esta função é requerida para que esse plugin Anti-Malware funcione corretamente<br />Verifique a diretiva disable_functions em seu arquivo php.ini e remova o base64_decode para resolver esse problema."
  PAD VAN BESTAND ...\wp-content\plugins\gotmls\readme.txt (2 hits)
	Line 163: * Added a warning message if base64_decode has been disabled.
	Line 389: Moved the quarantine files into the database and deleted the old directory in uploads, fixed some minor HTML formatting issues, and added a warning if base64_decode is disabled.
  PAD VAN BESTAND ...\wp-content\plugins\gotmls\safe-load\wp-login.php (1 hit)
	Line 45: 				@file_put_contents(GOTMLS_LOG_FILE, '<?php $GLOBALS["GOTMLS"]["logins"]["'.$GOTMLS_LOGIN_KEY.'"]=unserialize(base64_decode("'.base64_encode(serialize($GLOBALS["GOTMLS"]["logins"][$GOTMLS_LOGIN_KEY])).'"));');
  PAD VAN BESTAND ...\wp-content\plugins\wordfence\js\admin.js (1 hit)
	Line 2745: 			base64_decode: function(s) {
  PAD VAN BESTAND ...\wp-content\plugins\wordfence\js\admin.liveTraffic.js (2 hits)
	Line 374: 						var paramKey = WFAD.base64_decode(data.paramKey);
	Line 375: 						var paramValue = WFAD.base64_decode(data.paramValue);
  PAD VAN BESTAND ...\wp-content\plugins\wordfence\lib\menu_waf.php (4 hits)
	Line 392: 				<span class="whitelist-display">${WFAD.htmlEscape(WFAD.base64_decode(whitelistedURLParam.path))}</span>
	Line 394: 				       value="${WFAD.htmlEscape(WFAD.base64_decode(whitelistedURLParam.path))}">
	Line 398: 				<span class="whitelist-display">${WFAD.htmlEscape(WFAD.base64_decode(whitelistedURLParam.paramKey))}</span>
	Line 400: 				       type="text" value="${WFAD.htmlEscape(WFAD.base64_decode(whitelistedURLParam.paramKey))}">
  PAD VAN BESTAND ...\wp-content\plugins\wordfence\lib\wfActivityReport.php (2 hits)
	Line 518: 				$paramKey = base64_decode($actionData['paramKey']);
	Line 519: 				$paramValue = base64_decode($actionData['paramValue']);
  PAD VAN BESTAND ...\wp-content\plugins\wordfence\lib\wfLog.php (1 hit)
	Line 1709: 					$actionData[$key] = base64_decode($actionData[$key]);
  PAD VAN BESTAND ...\wp-content\plugins\wordfence\lib\wordfenceClass.php (4 hits)
	Line 5874: 				$waf->whitelistRuleForParam(base64_decode($_POST['path']), base64_decode($_POST['paramKey']),
	Line 5874: 				$waf->whitelistRuleForParam(base64_decode($_POST['path']), base64_decode($_POST['paramKey']),
	Line 6104: 					$paramKey = base64_decode($actionData['paramKey']);
	Line 6105: 					$paramValue = base64_decode($actionData['paramValue']);
  PAD VAN BESTAND ...\wp-content\plugins\wordfence\vendor\wordfence\wf-waf\src\lib\request.php (1 hit)
	Line 112: 						list($authUser, $authPass) = explode(':', base64_decode($matches[1]), 2);
  PAD VAN BESTAND ...\wp-content\plugins\wordfence\vendor\wordfence\wf-waf\src\lib\rules.php (1 hit)
	Line 1439: 			return base64_decode($value);
  PAD VAN BESTAND ...\wp-content\plugins\wordfence\vendor\wordfence\wf-waf\src\lib\storage\file.php (1 hit)
	Line 644: 						$json[$index] = base64_decode($json[$index]);
  PAD VAN BESTAND ...\wp-content\plugins\wordfence\vendor\wordfence\wf-waf\src\lib\waf.php (8 hits)
	Line 209: 			// $this->updateRuleSet(base64_decode($this->getRequest()->body('ping')));
	Line 438: 			$encoded = base64_decode($encoded);
	Line 1436: 						$waf->verifySignedRequest(base64_decode($jsonData['data']['signature']), $jsonData['data']['rules'])
	Line 1438: 						$waf->updateRuleSet(base64_decode($jsonData['data']['rules']),
	Line 1449: 						$waf->updateRuleSet(base64_decode($jsonData['data']['rules']),
	Line 1481: 						$waf->verifySignedRequest(base64_decode($jsonData['data']['signature']), $jsonData['data']['signatures'])
	Line 1483: 						$waf->setMalwareSignatures(wfWAFUtils::json_decode(base64_decode($jsonData['data']['signatures'])),
	Line 1494: 						$waf->setMalwareSignatures(wfWAFUtils::json_decode(base64_decode($jsonData['data']['signatures'])),
  PAD VAN BESTAND ...\wp-content\plugins\wordfence\views\waf\debug.php (1 hit)
	Line 18: 	$requestString = base64_decode($hitData->fullRequest);
  PAD VAN BESTAND ...\wp-content\plugins\wordfence\waf\wfWAFIPBlocksController.php (1 hit)
	Line 273: 				if (base64_decode($b['IP']) != $ipNum) {
  PAD VAN BESTAND ...\wp-includes\class-feed.php (1 hit)
	Line 265: 			$data = base64_decode( $data );
  PAD VAN BESTAND ...\wp-includes\class-IXR.php (1 hit)
	Line 368:                 $value = base64_decode($this->_currentTagContents);
  PAD VAN BESTAND ...\wp-includes\class-phpmailer.php (1 hit)
	Line 3232:                         $data = base64_decode($data);
  PAD VAN BESTAND ...\wp-includes\class-smtp.php (1 hit)
	Line 446:                 $challenge = base64_decode(substr($this->last_reply, 4));
  PAD VAN BESTAND ...\wp-includes\class-wp-customize-widgets.php (1 hit)
	Line 1271: 		$decoded = base64_decode( $value['encoded_serialized_instance'], true );
  PAD VAN BESTAND ...\wp-includes\ID3\module.audio.ogg.php (2 hits)
	Line 678: 					$flac->setStringMode(base64_decode($ThisFileInfo_ogg_comments_raw[$i]['value']));
	Line 685: 					$data = base64_decode($ThisFileInfo_ogg_comments_raw[$i]['value']);
  PAD VAN BESTAND ...\wp-includes\random_compat\random_bytes_com_dotnet.php (1 hit)
	Line 65:         $buf .= base64_decode($util->GetRandom($bytes, 0));
  PAD VAN BESTAND ...\wp-includes\SimplePie\Sanitize.php (1 hit)
	Line 244: 				$data = base64_decode($data);

Gotcha, maar het zijn er 1000, moet ik deze alle handmatig redirecten? Hoe kan ik dit uitschakelen dat het niet nog een keer gebeurd?

Hallo allemaal.
Helaas staan ze er nog steeds. Mijn wordpress is 100% up to date. Wordfence is geinstalleerd. Ben aangemeld bij Google Search Console en de site sitemap is geïndexeerd.

Hebben we het nu over die kamers*op*curacao-site? Want ik zie dat daar helemaal niks meer opstaat (SEDO landing)?

Edit: ow dat is de .nl, die betreft het niet. Gaat het (dus) om KOC.com?

Origineel gepost door Arjen Zijlstra

Hebben we het nu over die kamers*op*curacao-site? Want ik zie dat daar helemaal niks meer opstaat (SEDO landing)?

Edit: ow dat is de .nl, die betreft het niet. Gaat het (dus) om KOC.com?

Hierbij de directe link van de SERPS:
https://www.google.nl/search?q=site:...w=1242&bih=580

Denk dat er even tijd overheen gaat. Via de search console kan je links direct laten herindexeren.

Als je via Redbot (incl. Googlebot useragent) de HTML bekijkt (view body) ziet het er allemaal goed uit.
https://redbot.org/?uri=https%3A%2F%...%2Fbot.html%29

Origineel gepost door Robin L

Denk dat er even tijd overheen gaat. Via de search console kan je links direct laten herindexeren.

Als je via Redbot (incl. Googlebot useragent) de HTML bekijkt (view body) ziet het er allemaal goed uit.
https://redbot.org/?uri=https%3A%2F%...%2Fbot.html%29

Wij zijn al 3 maanden verder.

De pagina's zijn volgens Google aangemaakt in 2000. Althans dat is de datum die verschijnt.
Ze hebben hierdoor een hoog betrouwbaarheidsgehalte en zullen niet binnen enkele dagen verdwijnen.
Drie maanden is lang maar wie weet zit je er over zes maanden nog mee.