Взломали сайт, и заменили страницы, где дыра или как исправить?

Question

[Сергей Гулин]

Всем доброго времени суток, суть проблемы такова, что есть сайт на WP и на той неделе его взломали (2 админских аккаунта, пароли были изменены). И создали страницу с таким адрессом "site1.com/page-51191/" Она не отображается в админ панели, и на сервере найти не смогли, на этой странице отображался этот сайт "loansolo.com", перестала (магическим образом) после того как в панели разработчика удалили блок с контентом, сайт стал отображаться на браузерах опера/мозилла - нормально, а вот в хроме - просто английский текст, с заголовком "make quick cash today" и дальше описываются все прелести их кредитной системы, ai-bolit молчит, найти и решить проблему с этой страницей никак не получается, может вы подскажете?

Answer 1

[Edward]

Если нет желания или возможности копаться в файлах и искать внедренный код, можно поступить глобально.
Сохраните только необходимые файлы и папки, например wp-config.php, папку uploads (обычно туда загружаются медиафайлы). Если есть еще какие то очень важные для вас файлы, то их тоже. Но их должно быть минимум, что бы просмотреть их код и исключить вероятность заражения.
Скачайте дистрибутив WorPress с официального сайта, желательно той версии, которая у вас сейчас установлена, а также все плагины, которые у вас установлены.
Скопируйте в скачанный дистрибутив все сохраненные файлы, папки и скачанные плагины.
Потом удалите полностью сайт с хостинга и залейте туда новый, который собрали из скачанного дистрибутива.

Делайте все аккуратно, не торопитесь. На время удаления сайта с хостинга и заливки нового, добавьте в начало файла .htaccess, в корне сайта, код, чтобы исключить доступ посетителей на сайт во время этих операций:

Deny from All // запрещаем всем доступ к сайту
Allow from ваш IP // разрешаем доступ определенному IP адресу

После завершения работ, удалите добавленный в .htaccess код.

Смысл всего этого действа - оставить только файлы, которые трудно или невозможно восстановить, все остальное заменить новыми.

Что касается взломанных аккаунтов, то через phpMyAdmin нужно изменить пароли к ним и вернуть доступ себе.
Также необходимо сменить все пароли к хостингу, учетным записям сайта и т.д.

Как то так примерно.

Answer 2

[xmoonlight]

поищите функции и подстроки:

str_rot13(
eval(
_decode
flate(

См. здесь как настроить после того, как разберётесь.

Answer 3

[Александр Виткалов]

Наверняка у Вас установлен какой-то плагин для работы с файлами, изображениями или медиатекой. Взломать WP через дыры в таких плагинах могут даже боты. Советую Вам заменить или убрать такие плагины.
К тому же хорошим вариантом будет проверить сайт с помощью плагина Exploit Scanner. Мне помогал.
Скрыть страницу в админке проще простого. Лучше искать таковую в базе в таблице wp_posts. Скорее всего поле post_ID должно быть равно 51191.