Sprawdziłem trzy różne przeglądarki, czyściłem dane prywante etc. niestety bez skutku. Sprawdziłem także Google Webmaster Tools, gdzie po weryfikacji własności witryny można dostrzec czy otrzymało się komunikat o infekcji. Niestety komunikatu brak. Komunikat o zagrożeniu wydaje się nie być generowany dynamicznie, więc podejrzewam, że informacja o infekcji jest na tyle świeża, że DC Google nie odświeżyły jeszcze owej informacji – stąd brak wzmianek w GWT.

Niegdyś przeżyłem (nie wiem jak to sie udalo ;) ) atak wirusa, który dostał się na wszystkie FTP wpisane w Total Commanderze i dopisał odwołanie do zakażonej witryny poprzez IFRAME. Istny koszmar, przeszukiwanie wszystkich plików o nazwie index, admin, config itp i wycinanie z nich IFRAME. Ten, który zostałem teraz zainfekowany był sprytniejszy. Doklejał się do kodu strony podczas jej ładowania. Ilość zainfekowanych plików (jak narazie) 4 + 2 do usunięcia. Ktoś kto przygotował tego robaka był nielada sprytny. Kod IFRAME, który odwoływał się do zarażonej witryny był generowany w locie – także nie było możliwości przeszukania plików na serwerze z nazwą zarażonej strony.

Co ciekawe, do pliku wp-config.php doklejone zostało 6 000 linijek, pustych linijek – gdzie mniej więcej w 3000-cznym wierszu został umieszczony złośliwy kod pobierający „coś” poleceniem PHP – curl. Efekt był taki, że na pierwszy rzut oka nic w pliku nie było – zastanawiające była ogromna ilość pustych wierszych i nawet przy przewijaniu można było przegapić kod.

Sprawa jest dość świeża, gdyż na forum WordPress – powstaje masa wątków – gdzie ludzie opisują podobny problem. Ponoć przyczyną zarażenia jest dziura w skrypcie galerii TimThumb. Ja niestety, jestem przekonany, że to nie to a przynajmniej musi istnieć inne źródło dodatkowo – jako, że z owego dodatku nie korzystam. Skutki usunięte, niestety co do przyczyn dalej brak pewności. Jak rozprawie się z całością – przygotuje obszerny materiał jak w takiej sytuacji sobie poradzić.