Am fost rugat de o cunostinta sa repar un site wordpress (http://damagelimitation.org/) care primesti in Chrome/Firefox in momentul de fata notificarea cu "Safe Browsing - the site contains malware … " (nu e neaparat recomandat sa clickuiti).
In prima faza am gasit problema, era vorba de plugin de gravity (problema e descrisa bine in articolul asta https://blog.sucuri.net/2015/02/malware-cleanup-to-arbitrary-file-upload-in-gravity-forms.html) am facut cleanup si am anuntat clientul sa faca update la wordpress & plugins. Problema sa rezolvat pe moment si nu am mai primit notificarea respectiva timp de o zi, sa facut upgrade la Wordpress 4.3.1.
Dupa o zi am primit din nou notificarea am verificat codul am cautat dupa eval() si alte probleme ce erau anterior in js-uri da nu am gasit nici o problema. Am mai incercat sa:
download wordpress 4.3.1 oficial si comparat upgrade-ul, nu am gasit modificari
verificat contentul in DB, am verificat pe un dump de MySQL cautand dupa eval()
Nu am gasit nici o problema, daca aveti sugestii cum sa identific problema scrieti mai jos. Google Safe Browsing nu e prea explicit cu privire la problema si update se face doar odata pe zi.
aveam o mulțime de porcării în .htaccess, dar nu înainte să am câteva sute de linii goale (să ai impresia că ai ajuns la sfârșitul documentului);
aveam porcării în wp-config.php;
permisiuni/fișiere dubioase în wp-content/uploads care puteau fi executate remote.
Sugestii:
uite-te în access log, vezi ce fișiere au fost accesate și ce pare dubios;
zip la tot public_html și descarci local (pentru căutări mai bune, eventual un antivir poate găsi chestii suspecte)
te apuci să cauți patterns suspecte (în wp-content/uploads nu ar trebui să fie vreun fișier php; dacă este nu ar trebui să fie executabil/parsabil de către PHP)
ștergi tot în afară de wp-content (recomand să ștergi și wp-content/plugins și wp-content/themes, după care reinstalezi tema/plugin-urile manual);
Un mic follow up, am verificat majoritatea din lista lui @iamntz:
Da nu am gasit, am incercat si sugestia lui @noah in Google Web Master tools da acolo nu a putut sa-mi spuna unde e problema, pe ce url/pagina:
Undetermined malware
These pages directed users to a site that serves malware or unwanted software. Unfortunately, the malicious code within the page could not be isolated.
Am lasat problema unui developer wordpress sa o rezolve, prevad o nisa de succes pe domeniul asta.
De cateva luni ofer un serviciu de devirusare a siteurilor wordpress pe un site de freelance.
Cea mai sigura modalitate sa devirusezi un site si sa gasesti malware pe care am gasit-o este: @Linux:maldet/clamav
In 99.9% din situatii am reusit cu succes sa gasesc problemele cu o simpla scanare a fisierelor din /www https://www.rfxn.com/projects/linux-malware-detect/ http://www.clamav.net/