Массовое появление зараженных файлов в Wordpress. Как лечить?

Question

[Георгий]

Вчера вечером от хостинг-провайдера появилось уведомление:
site1.ru/wp-content/plugins/backwpup/files.php заражен
Зашел, сменил пароли и просто снес его.

Позже пришло еще 2 уведомления:
site2.ru/wp-content/plugins/google-sitemap-generator/841rewb3v4x.php
site2.ru/wp-content/uploads/2009/files.php

А позже еще:
site3.com/.trash/.4c48c2.php
site3.com/_Backup_Settimanale/plugin.php
site3.com/statistik/search.php
site3.com/wp-content/plugins/revslider/files.php

Сейчас выкачал все файлы с сервера, проверил Drweb Cureit. Он вообще ничего не увидел, но файлы явно не мной были загружены на сервер.
Не все файлы, которые видны на сервере, видны в системе.
Все новые файлы на сервере датируются старыми числами, примерно когда устанавливалась вся система или конкретный плагин.

Прикрепляю архив с этими файлами https://drive.google.com/file/d/0B1r9j9oB1QUnME1Dc...
На всякий случай прикреплю еще скрин начала кода самого файла take.ms/a7IHq

Answer 1

[Дмитрий Энтелис]

1. антивирусы ничего не найдут, т.к не занимаются проверкой php кода.
2. если вам заливают это через дыру в wp - откатиться на точно не зараженный бекап, сменить wp на последнюю версию.
3. возможно заражен сам сервер - лучше полностью переставить ос
4. удалить все скрипты с сервера, ребутнуть, залить чистый код

Comments

[Георгий]

2. Версии ядра и плагинов всегда поддерживаю в актуальном состоянии. Обновляю все практически сразу, после проверки работоспособности.
3,4. Это виртуалка на Timeweb.

[Игорь Воротнёв]

@georgypoplavsky если обновляете, то могли юзера какого-то брутфорснуть. Пароли принудительно менять на сложные. Или, как вариант - после установки "зануленной" темы или плагина появился бекдорчик - бонус от "нулителей"-робингудов. Лечится просто - покупкой оного у оригинального производителя.

[Дмитрий Энтелис]

@georgypoplavsky 3,4 - то что это виртуалка абсолютно не меняет возможности по наличию в системе руткита.

[Георгий]

@HeadOnFire нет, нуллов точно нигде нет.

Answer 2

[Александр Борисович]

1) убрать говноплагины.
2) поставить плагин, Wordfence Security
сверяющий ядро пресса по конрольной сумме с репозиторием - защита от модификации ядра.
4) провериться этим
www.revisium.com/ai
5) после этого руками пройтись по ядру и найти лишние файлы, маскирующиеся под системные (лишние тела вирусов, которые могут запуститься из вне по ссылке, которая известна вирусописателю). К сожалению плагин Wordfence Security этого не умеет.

6)Проверить свою тему на вирусы ручками. Хороший совет грохнуть все что можно грохнуть все кроме темы и поставить заново.

7) Разобраться как попал вирус, не разберетесь, все будет заново. Скорее всего говноплагин.

Comments

[Георгий]

Подразумевается что плагин закачан собственноручно? или мог быть закачан напрямую из plugins.wordpress.org?

[Александр Борисович]

@georgypoplavsky без разницы. Говноплагинов в репозитории куча. Их никто не проверяет на устойчивость к взлому.
Можно доверять тем более менее у которых в десятках или сотнях тысячах установок.

Answer 3

[Александр Зеленин]

удалить все, что можно удалить (движок, плагины). Залить начисто новые. Шаблон лечить ручками.

Answer 4

[Олег Войтенко]

Cкорее всего вы поставили варезный плагин в ВП, скачали не с сайта девелопера. Вот он и льет вам php-вирусы. Пересоберите вордпресс и все должно стать лучше. Если не поможет тогда советы saratovdae будут как раз в пору.

Comments

[Георгий]

исключено, варезных плагинов не может быть.

Answer 5

[Влад Животнев]

install.php удалите для начала

Comments

[Георгий]

если честно, первый раз слышу о таком файле в Wordpress