Поддержка Проблемы и решения Ломанули сайт. Через что?

  • ЗЫ. сайт сейчас заблокирован хостингом за превышение трафика.
    Хостинг давно, и уже несколько лет нового ничего не добавлял. Некоторое время (может месяц) обновил плагины. все работало.
    Версия — последняя четверка (хм, а как без админки посмотреть версию?)
    20.02.21 приходит письмо от хостера. что в папке /wp-content/maintenance/assets/images/подозрительный файл index.php
    Вроде файл логичный, правда чего он делает в папке имадже?
    Посмотрел дату — этот плагин как раз 20 февраля и поставился.
    Сайт работал, но в админку попасть не мог, выдавало 404 ошибку.
    Оказалось, что в файл .htaccess было дописано

    
    <FilesMatch ".(py|exe|php)$">
     Order allow,deny
     Deny from all
    </FilesMatch>
    <FilesMatch "(^iR7SzrsOUEP.php|^wp-signups.php|^index.php|^aclass.api.php)$">
     Order allow,deny
     Allow from all
    </FilesMatch>
    

    Удалил — доступ к админке появился.
    А через пару дней хостинг блокирнул сайт из-за превышения трафика. Стал разюираться, оказалось, что робот гугла (смотрел по IP) сделал сотни тысяч запросов, а т.к. страница 404 редиректится у меня на страницу поиска — то весь трафик был сожран.
    Стал смотреть далее.
    Лишний файл wp_signups.php также изменен index.php (эти два файла аналогичные по содержимому).
    Ковырнул файл, его суть: как минимум отправка данных на http://fgm1031.milnn.xyz/org.php?domain=&page=&pr=&ip=&lg=&cur=wp-signups.php

    Ну и вопросы: через какой плагин (или как могли ломануть?) как найти все ломанное и как обезопаситься?

    • Тема изменена 5 месяцев, 1 неделя назад пользователем Yui. Причина: please use CODE button for code formatting

    Страница, с которой нужна помощь: [войдите, чтобы увидеть ссылку]

Просмотр 4 ответов — с 1 по 4 (всего 4)
  • Это читал, даже битые ссылки нашел, например:
    «Айболит» — https://revisium.com/ai/ — сканер вирусов и вредоносных скриптов на хостинге, есть также Windows версия для проверки локальной копии файлов сайта.

    Если на сайте всё обновляли, тема и плагины с этого сайта, то остаются только 2 пути заражения: дырявый хостинг (у меня однажды такое случилось) или вирусы с Вашего компьютера.

    Автор umnikov

    (@umnikov)

    Вроде все восстановил. Правда начел фичу.
    Когда хостинг прописывает домен он автоматом создает служебный поддомен.
    А у меня настроено что для каждого поддомена создаются таблы с префиксом.
    Так вот если зайти по адресу служебного поддомена ВП считает, что сайта еще нет и создает новый сайт.
    Поправил…

Просмотр 4 ответов — с 1 по 4 (всего 4)