Dica rápida para não caírem feito um pato como eu caí.  Hoje fui pesquisar um link do meu próprio blog pelo google e descobri que meu site “/tech” inteiro havia sido removido. Pior, o cache do google apontava para um lance estranho.

Conferi na ferramenta para webmaster do google e verifiquei que o Googlebot era redirecionado para um endereço “bablo .me .uk” e as vezes esse endereço se camuflava em outros.

Usando  ”curl -v -A Googlebot http://www.milfont.org/tech” eu recebia a mensagem:

...
* HTTP 1.0, assume close after body
< HTTP/1.0 301 Moved Permanently
< Date: Thu, 19 Aug 2010 23:55:13 GMT
< Server: Apache
< Location: http://bablo .me .uk/#....
...


Só depois de muita surra procurando nos .htaccess e .php da vida que encontrei nesse link o comentário que me salvou.

Procurando com find -name “*.php” | xargs grep -E “eval” eu encontrei escondido no wp-config.php, pior, estava com muitos espaços para a direita dificultando a visualização:


./wp-config.php:                                                eval(base64_decode('ZXJ....


Sei lá quanto tempo procurando essa desgraça, fica a dica se passarem pelo menos tormento. Revisei todas as permissões e atualizei o wordpress, coisa que deveria ter feito há tempos, mas o preguiçoso trabalha mais do que o esperto.

Posted in PHP, seguranca, Software Livre ~ 1 Comment