Как найти, где поселилась WSO вируса anonymousfox на WordPress-сайте?
В конце сентября я узнал о вирусе из письма которое сгенерировала гугл-консоль.
Я скачал на комп с сервера все содержимое сайта. Установил плагин WordFence он мне нашел "зараженные" файлы на сервере, они были августовские. Удалил их с сервера, запустил сканирование снова, нашлась только 1 угроза это был файл index.php в корне. Удалил его, но в тот же момент он снова появлялся. И сколько бы не удалял, файл все равно появлялся, при этом я не сидел ни в админке ни на сайте. Естественно я обновил пароль к админке и ftp.
Сам index.php внутри имеет кроме штатного кода еще и вирусный.
Не трудно было узнать, что это FoxAutoV5 [The best tool] и гугление дает ссылку на презентацию этого WSO Shell: pcx3.com/linux/wso-2-6-shell
В локальной копии, после удаления "зараженных" файлов ищу строки с каким-нибудь base64 и даже тем, что может создавать файл типа кода php: fwrite(fopen но не нахожу нештатного (сравниваю найденный файл с ориигиналом WP).
Переустанавливал из админки штатные файлы WP, убрал свою тему установил из официального каталога.
Где искать то, что создает index.php а вернее где поселился шелл?
Извиняюсь за форматирование. Ищу варианты опубликовать пост что бы все слова пропустило.
Столкнулся с такой же проблемой. Нашел файл SH в директории / wp-admin / js / widgets /.
Три дня уже потратил на то что бы найти вирус. Находил даже файловые менеджеры непонятно когда загруженные. но все не помогало. По вашему вопросу насчет появления удаленного файла - найти не сложно что его исполняет.
https:// prnt.sc / 26lgn6w - вот вам замена вашего hta ccess и индексного файла.
По поводу SH файла я его только обнаружил (искал по слову hta ccess). Чуть позже отпишусь помогло ли его удаление для избавления от вирусни. И это кстати не только WP вирус. На битриксе на одном из сайтов таже песня.
Добрый день. Нет пока двое суток без заражения держимся. Решил сначала подождать а потом уже написать ответ. После удаления SH файла, описанного мной выше, вставки кода, которые реализовывали перезапись перестали вставляться. Ищите эти вставки по поиску в коде. Посмотрите какие права выставлены на замененные файлы. Я по ним искал. у меня были 555. А самый главный Shell нашел по поиску слова "htaccess". Надеюсь понятно написал. Удачи вам
celkolomidze, все это я сделал до того как тут спрашивать. Код вируса не в таком простом виде как у вас.
И кстати, перепроверьте, все ли вы охватываете проверкой своей.