andreynec, приветствую.
Получается в теме дыра?
Да, но тут всё зависит от деталей. Либо сама тема была уже такой, либо кто-то модифицировал файл. Смотрите даты, если есть бэкапы, то сравнивайте код оригинала и версии на вашем сервере.
С айболитом пока не справился, почему-то в корневой каталог не загружается, вернее загружается и сразу удаляется, ai-bolit-hoster.php
Пишет вот так:
550 Transfer aborted: virus ‘{HEX}php.gzbase64.inject.455.UNOFFICIAL’ detected
Это происходит в FileZilla, загрузка и моментальное удаление файла.
Это происходит на сервере, а FileZilla лишь интерпретирует ответ в виде ошибки. Немного глупая ситуация, да и «Ай-Болит» вам не поможет по ряду причин. Основная — он в принципе не реагирует на штатные функции создания пользователей в системе и пр., не говоря уже о том, что и малвари находит в лучшем случае треть от общего количества.
Virustotal и другие показывают, что чисто.
Потому что у них нет доступа к файлам, то есть метод тоже бесполезный. Сканируется только исходный код указанной страницы.
Залил заново папки wp-admin, wp-includes.
Хорошо, но бесполезно, если не вычистили лишний код из /wp-content/.
Поставил плагин All In One WP Security & Firewall, с контролем изменения файлов
Он довольно легко обходится 🙂