Задать вопрос

Как найти, где поселилась WSO вируса anonymousfox на WordPress-сайте?

В конце сентября я узнал о вирусе из письма которое сгенерировала гугл-консоль.
Я скачал на комп с сервера все содержимое сайта. Установил плагин WordFence он мне нашел "зараженные" файлы на сервере, они были августовские. Удалил их с сервера, запустил сканирование снова, нашлась только 1 угроза это был файл index.php в корне. Удалил его, но в тот же момент он снова появлялся. И сколько бы не удалял, файл все равно появлялся, при этом я не сидел ни в админке ни на сайте. Естественно я обновил пароль к админке и ftp.

Сам index.php внутри имеет кроме штатного кода еще и вирусный.

Не трудно было узнать, что это FoxAutoV5 [The best tool] и гугление дает ссылку на презентацию этого WSO Shell: pcx3.com/linux/wso-2-6-shell

В локальной копии, после удаления "зараженных" файлов ищу строки с каким-нибудь base64 и даже тем, что может создавать файл типа кода php: fwrite(fopen но не нахожу нештатного (сравниваю найденный файл с ориигиналом WP).

Я смотрю логи с сервера, есть запросы типа

136.144.41.12 - - [07/Oct/2021:12:29:02 +0300] "GET /index.php?3x=3x HTTP/1.0" 301 - "anonymousfox.co" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
136.144.41.12 - - [07/Oct/2021:12:31:54 +0300] "GET /wp-includes/fonts/css.php HTTP/1.0" 403 39475 "anonymousfox.co" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

Много такого рода:

37.0.10.159 - - [07/Oct/2021:06:09:01 +0300] "GET /wp-admin/css/colors/sunrise/%20 HTTP/1.0" 301 - "binance.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
37.0.10.159 - - [07/Oct/2021:06:09:35 +0300] "GET /wp-includes/ HTTP/1.0" 403 39475 "binance.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

Много и 404х на эти же домены.

Переустанавливал из админки штатные файлы WP, убрал свою тему установил из официального каталога.
Где искать то, что создает index.php а вернее где поселился шелл?
  • Вопрос задан
  • 982 просмотра
Подписаться 3 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 2
pro100taa
@pro100taa
В этой теме разве не дали ответ?
Ответ написан
@celkolomidze
Извиняюсь за форматирование. Ищу варианты опубликовать пост что бы все слова пропустило.
Столкнулся с такой же проблемой. Нашел файл SH в директории / wp-admin / js / widgets /.
Три дня уже потратил на то что бы найти вирус. Находил даже файловые менеджеры непонятно когда загруженные. но все не помогало. По вашему вопросу насчет появления удаленного файла - найти не сложно что его исполняет.
https:// prnt.sc / 26lgn6w - вот вам замена вашего hta ccess и индексного файла.
По поводу SH файла я его только обнаружил (искал по слову hta ccess). Чуть позже отпишусь помогло ли его удаление для избавления от вирусни. И это кстати не только WP вирус. На битриксе на одном из сайтов таже песня.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы