Как найти, где поселилась WSO вируса anonymousfox на WordPress-сайте?

Question

[bjiag0]

В конце сентября я узнал о вирусе из письма которое сгенерировала гугл-консоль.
Я скачал на комп с сервера все содержимое сайта. Установил плагин WordFence он мне нашел "зараженные" файлы на сервере, они были августовские. Удалил их с сервера, запустил сканирование снова, нашлась только 1 угроза это был файл index.php в корне. Удалил его, но в тот же момент он снова появлялся. И сколько бы не удалял, файл все равно появлялся, при этом я не сидел ни в админке ни на сайте. Естественно я обновил пароль к админке и ftp.

Сам index.php внутри имеет кроме штатного кода еще и вирусный.

Не трудно было узнать, что это FoxAutoV5 [The best tool] и гугление дает ссылку на презентацию этого WSO Shell: pcx3.com/linux/wso-2-6-shell

В локальной копии, после удаления "зараженных" файлов ищу строки с каким-нибудь base64 и даже тем, что может создавать файл типа кода php: fwrite(fopen но не нахожу нештатного (сравниваю найденный файл с ориигиналом WP).

Я смотрю логи с сервера, есть запросы типа

136.144.41.12 - - [07/Oct/2021:12:29:02 +0300] "GET /index.php?3x=3x HTTP/1.0" 301 - "anonymousfox.co" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
136.144.41.12 - - [07/Oct/2021:12:31:54 +0300] "GET /wp-includes/fonts/css.php HTTP/1.0" 403 39475 "anonymousfox.co" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

Много такого рода:

37.0.10.159 - - [07/Oct/2021:06:09:01 +0300] "GET /wp-admin/css/colors/sunrise/%20 HTTP/1.0" 301 - "binance.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"
37.0.10.159 - - [07/Oct/2021:06:09:35 +0300] "GET /wp-includes/ HTTP/1.0" 403 39475 "binance.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36"

Много и 404х на эти же домены.

Переустанавливал из админки штатные файлы WP, убрал свою тему установил из официального каталога.
Где искать то, что создает index.php а вернее где поселился шелл?

Answer 1

[Дмитрий]

В этой теме разве не дали ответ?

Comments

[bjiag0]

Неа. Простейшие советы выполнены, а вопрос не решен(

Answer 2

[celkolomidze]

Извиняюсь за форматирование. Ищу варианты опубликовать пост что бы все слова пропустило.
Столкнулся с такой же проблемой. Нашел файл SH в директории / wp-admin / js / widgets /.
Три дня уже потратил на то что бы найти вирус. Находил даже файловые менеджеры непонятно когда загруженные. но все не помогало. По вашему вопросу насчет появления удаленного файла - найти не сложно что его исполняет.
https:// prnt.sc / 26lgn6w - вот вам замена вашего hta ccess и индексного файла.
По поводу SH файла я его только обнаружил (искал по слову hta ccess). Чуть позже отпишусь помогло ли его удаление для избавления от вирусни. И это кстати не только WP вирус. На битриксе на одном из сайтов таже песня.

Comments

[bjiag0]

насчет появления удаленного файла - найти не сложно что его исполняет

Ну так что снова создает файл-то? Где что удалить, чтобы не создавался?

[celkolomidze]

Добрый день. Нет пока двое суток без заражения держимся. Решил сначала подождать а потом уже написать ответ. После удаления SH файла, описанного мной выше, вставки кода, которые реализовывали перезапись перестали вставляться. Ищите эти вставки по поиску в коде. Посмотрите какие права выставлены на замененные файлы. Я по ним искал. у меня были 555. А самый главный Shell нашел по поиску слова "htaccess". Надеюсь понятно написал. Удачи вам

[bjiag0]

celkolomidze, все это я сделал до того как тут спрашивать. Код вируса не в таком простом виде как у вас.
И кстати, перепроверьте, все ли вы охватываете проверкой своей.