Вирус на WP меняет пароль админу постоянно, что делать? ничего не помогает?

Question

[4upik]

Привет всем. Проблему не могу решить у админа меняют пароль и почту на "что-нибудь@мойдомен.ру",
может даже меняют всем юзерам, сейчас всех юзеров удалил 1го оставил.
Потом появляются лишние файлы с .php расширениями , редиректить начинает сайт
И в браузере при вводе сайт.ру/несуществующийурл открывает файлы как по ssh с возможностью редактирования даже вроде....

Из-того что делал и не помогло:
Почистил все файлы вручную и айболитом
Обновил wordpress и плагины (снес все неиспользуемые)
Бд сменил логин пароли

Все равно у админа меняют пароль и почту на "что-нибудь@мойдомен.ру", и после этого начинаются следующие приключения(описанные выше)

Кто -нибудь встречался с таким? Как решить ?

Вирусы могут быть в бд? если да то чем их сканить чистить?

Comments

[Антон Литвиненко]

я сталкивался с такой штукой как неудаляемый админ-пользователь с одним и тем же именем. пытаюсь удалить он появляется снова, правда с другим айдишником. А потом залез в функции, а это оказывается ктото реально написал функцию, создающую админа, удалил ее и все

Answer 1

[Максим Гришин]

1. Остановить веб-сервер и перезагрузить хост
2. Изолировать хост от доступа извне, перенастроить файрволл для ограничения выхода сервера в интернет (обратный шелл - гадость, которую надо ловить отдельно)
3. Обновить wordpress на свежую версию, сохранив старый каталог в месте, недоступном для веб-сервера
4. Создать новую базу для wordpress, сменить пароль админа и пароль доступа к БД
5. Просмотреть changelog wordpress'a в поисках багфиксов, через которые возможен взлом сайта
6. Просмотреть старый каталог wordpress в поисках залитого шелла, при обнаружении проанализировать, включая путь, которым он туда попал
7. Ограничить доступ к админке wordpress средствами веб-сервера (IP, авторизация логин-пароль внутри сервера (не вордпрессная!), ещё что-нибудь, что умеете)
8. Настроить аудит доступа к админке и fail2ban на его основе, чтобы отсечь ломающего ваш сервер
9. Создать бэкап системы для обеспечения отката на состояние "купированная атака"
10. Включить новый wordpress, проверить ваш доступ к нему, проверить (ожиданием и анализом логов) наличие попыток взлома
11. В случае, если взломать новый wordpress у атакующего не получилось (по логам, по косвенным признакам, ещё как), запустить перенос данных со старого инстанса (из БД в БД), пользователей пересоздать.

Как-то так имхо.

Answer 2

[Алексей]

В БД вряд ли. Там могут быть линки, с которых скачиваются скрипты, загружающие что-то нехорошее. Также такие файлики могут быть в кеше.

По-хорошему, если есть бекап с точно незаражённым контентом, то скачать его и сравнить с текущим контентом(файлы и БД) и смотреть, где что прописалось. Потом забанить IP и имена с которых скачивается это ненужное(если прописалось) + ограничение доступа к админке только с ваших рабочих IP-адресов. И расширенное логирование с последующим поиском по логам по имени пользователя-админа.