georgypoplavsky
@georgypoplavsky

Массовое появление зараженных файлов в Wordpress. Как лечить?

Вчера вечером от хостинг-провайдера появилось уведомление:
site1.ru/wp-content/plugins/backwpup/files.php заражен
Зашел, сменил пароли и просто снес его.

Позже пришло еще 2 уведомления:
site2.ru/wp-content/plugins/google-sitemap-generator/841rewb3v4x.php
site2.ru/wp-content/uploads/2009/files.php

А позже еще:
site3.com/.trash/.4c48c2.php
site3.com/_Backup_Settimanale/plugin.php
site3.com/statistik/search.php
site3.com/wp-content/plugins/revslider/files.php

Сейчас выкачал все файлы с сервера, проверил Drweb Cureit. Он вообще ничего не увидел, но файлы явно не мной были загружены на сервер.
Не все файлы, которые видны на сервере, видны в системе.
Все новые файлы на сервере датируются старыми числами, примерно когда устанавливалась вся система или конкретный плагин.

Прикрепляю архив с этими файлами https://drive.google.com/file/d/0B1r9j9oB1QUnME1Dc...
На всякий случай прикреплю еще скрин начала кода самого файла take.ms/a7IHq
  • Вопрос задан
  • 4162 просмотра
Решения вопроса 3
DmitriyEntelis
@DmitriyEntelis
Думаю за деньги
1. антивирусы ничего не найдут, т.к не занимаются проверкой php кода.
2. если вам заливают это через дыру в wp - откатиться на точно не зараженный бекап, сменить wp на последнюю версию.
3. возможно заражен сам сервер - лучше полностью переставить ос
4. удалить все скрипты с сервера, ребутнуть, залить чистый код
Ответ написан
Alexufo
@Alexufo
противоречивый, сложный, весь компьютерный.
1) убрать говноплагины.
2) поставить плагин, Wordfence Security
сверяющий ядро пресса по конрольной сумме с репозиторием - защита от модификации ядра.
4) провериться этим
www.revisium.com/ai
5) после этого руками пройтись по ядру и найти лишние файлы, маскирующиеся под системные (лишние тела вирусов, которые могут запуститься из вне по ссылке, которая известна вирусописателю). К сожалению плагин Wordfence Security этого не умеет.

6)Проверить свою тему на вирусы ручками. Хороший совет грохнуть все что можно грохнуть все кроме темы и поставить заново.

7) Разобраться как попал вирус, не разберетесь, все будет заново. Скорее всего говноплагин.
Ответ написан
удалить все, что можно удалить (движок, плагины). Залить начисто новые. Шаблон лечить ручками.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
Cкорее всего вы поставили варезный плагин в ВП, скачали не с сайта девелопера. Вот он и льет вам php-вирусы. Пересоберите вордпресс и все должно стать лучше. Если не поможет тогда советы saratovdae будут как раз в пору.
Ответ написан
@inkvizitor68sl
Linux-сисадмин с 8 летним стажем.
install.php удалите для начала
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы