Поддержка Проблемы и решения Поймал вирус wp-vcd Malware

  • Всем привет. Я идиот, качнул нуленный шаблон, код проверил мельком — вроде чистый. Поставил и забыл. Спустя 4 дня (с сегодня) началось. Множественные запросы POST и GET к wp-login.php и xmlrpc. Хостинг перегружен, только включаю сайт — он сразу ложиться. Страница авторизации по другому адресу, wp-login отдает код 404.
    Пошарив по файлам, обнаружил вирус. Гуглиться по запросу wp-vcd malware.
    Инструкций в интернете достаточно, сделал все как написано. Не помогло.
    Стандартный антивирус из ispmanager, программа для проверки сайтов на винду Айболит ничего не нашла.
    Онлайн сканеры типа вирустотала не работают, потому что требуют доступа к сайту. Сейчас я в htaccess ограничил доступ всех ip, кроме своего. Стоит на секунду сайт включить — сразу ложиться от кучи запросов.
    Если кто знает, как избавиться от этой дряни, напишите прошу.
    Делал по этой инструкции: http://www.ukraine.com.ua/faq/wordpress-zarazhenie-fajla-functions-php-temi-oformleniya.html#!8
    Эта дрянь на гитхабе: https://github.com/CirKu17/wp-vcd-malware-sample/blob/master/wp-malware-samples.php

    И сразу второй вопрос. Хочу попытаться обновить вордпресс. Как сделать это автоматически нажатием кнопки из админки? Есть идея подменить версию 4.9.1 на версию ниже, чтобы вордпресс предложил в админке обновиться. Как это сделать?

    • Тема изменена 3 года, 4 месяца назад пользователем ruferryman.
Просмотр 1 ответа (всего 1)
  • программа для проверки сайтов на винду Айболит ничего не нашла.

    Вообще-то это серверный сканер. Под винду его порт.
    Для того чтобы ай-болит «нашла» нашел стоит поставить параноидальный режим. Но в этом случае он найдет и не опасные «запчасти» ВП.

    Если кто знает, как избавиться от этой дряни, напишите прошу.

    Тут может и просто и не просто. Это как повезёт. А точнее куда успела пролезть зараза.
    Само простое, что Вы можете сделать — это полностью удалить ядро ВП с сервера и залить из архива Вашу версию.
    Ядро — это каталоги wp-admin, wp-includes и файлы в корне, кроме wp-config.php. Однако зараза может сидеть ещё и подкаталогах wp-content. Тут проще посмотреть глазами на предмет наличия лишних файлов. Плагины и темы тоже стоит удалить (чтобы не пересматривать все их подкаталоги) и закачать из оф каталога оригиналы.

    Это помогает в большинстве случаев. Однако вирус может попасть и выше ВП и в базу. Дамп базы можно просканировать тем же ай-болитом. А вот выше — тут только гулять по серверу или искать («grep», если это Вам что-то скажет и есть возможность использовать) опасные вхождения.

    Ида!! Не забывайте сделать бекапы (даже с вирусами) и убедиться что они рабочие.

Просмотр 1 ответа (всего 1)
  • Тема «Поймал вирус wp-vcd Malware» закрыта для новых ответов.