Поддержка Проблемы и решения Появились php файлы в uploads

  • Решено daniilberger13

    (@daniilberger13)


    Непосредственно в uploads вчера вылез https://i.gyazo.com/8c51cbf7551837760483ca47a754e18f.png
    А сегодня внутри uploads/2018 появилось вот это
    https://i.gyazo.com/79908c194c50a2ffa9fd38c7a781dc02.png
    Я не спец. и не уверен появились ли они там, но просто «дата изменения» показывает что их меняли вчера и сегодня, а что именно там могло меняется внутри файлов не ясно. За что отвечают эти файлы я не смог найти. Кто знает, подскажите пожалуйста. А да на фоне этого всего еще удалился wp-config.

Просмотр 9 ответов — с 1 по 9 (всего 9)
  • Модератор Юрий

    (@yube)

    Эти файлы отвечают за доступ хакера к Вашему сайту. Просто их удалять смысла нет. Где один — там и другие. Кое-что поможет найти сканер https://revisium.com/ai/ Движок, плагины и Тему лучше сразу перезалить из дистрибутивов. В общем, стандартные рекомендации при взломе.

    На время чистки сайт лучше закрыть от доступа извне (через .htaccess), потому что бегать наперегонки с ботами — бесполезная затея.

    Непосредственно в uploads вчера вылез
    ..
    А да на фоне этого всего еще удалился wp-config.

    Те же симптомы и те же даты, что я буквально вчера такое чистил у своего клиента. И у меня большие подозрения что это хостинг. Либо какие-то плагины.
    Можете сказать какой хостинг, какие плагины и тема, их версии. И версию ВП тоже скажите, пож.

    И ещё проверьте ВСЕ файлы header.php (на всём аккаунте, во всех темах, в ядре ВП) в <head> на предмет таких строк: <script type='text/javascript' src='https://souce.uustoughtonma.org/pk.js?f=2'></script>
    Встречается 2 раза — в начале и в конце <head>
    Есть? такой?

    Просто их удалять смысла нет. Где один — там и другие.

    На удивление, я нашел всего 2 копии шелла и всего на одном сайте. Но header.php — все изгадили. А там их более сотни (несколько тесовых сайтов, не удалённое старьё типа на всякий случай валяется. Вне раб. сайтов разумеется).
    Это конечно не говорит что у ТСа тоже не будет. Просто для инфы.

    Хостинг Beget. Версия ВП 4.9.8, тема кастомная.
    Список плагинов:
    Advanced Custom Fields: Repeater Field 2.0.1
    All In One SEO Pack 2.5
    WP Super Cache 1.6.1
    Расширенные произвольные поля 4.4.12

    В header’ах чисто.

    Из общего только All In One SEO Pack.

    Но «тема кастомная», так что.. Всё может быть.

    А что плагинов действительно так мало? Или есть ещё и другие, но отключённые?
    А сайт переносили дубликатором? Не осталось случайно в корне installer.php или installer-backup.php

    Выключен Duplicate Post 3.3.2
    Выключен Duplicator 1.2.40

    В корне есть:
    installer.php
    installer-backup.php
    installer-data.sql

    Выключен Duplicator 1.2.40
    В корне есть:
    installer.php
    installer-backup.php

    https://wpvulndb.com/vulnerabilities/9123 (спс YUI за ссылку :))

    Супер, спасибо за эту наводку. Я очень плохо соображаю в этом сам. Но правильно ли я понял, что сейчас мне надо проверить бд (если я правильно перевел, то именно через бд это делается?) на вредоносный код, затем уже файлы сайта? Ну и само собой удалить эти php от дубликатора.

    • Ответ изменён 2 года назад пользователем daniilberger13.

    понял, что сейчас мне надо проверить бд (если я правильно перевел, то именно через бд это делается?)

    Нет, Вам стоит перезалить все файлы и воспользоваться айболитом для поиска шеллов (в общем см ответ Юрия).
    Переустановить ВП можно прям из админки.
    Но прежде — удалить указанные файлы от дубликатора.
    Так же не помешает сделать поиск по вхождению tempcrawl (см свой скриншот) по всем php-файлам.

    Модератор Yui

    (@fierevere)

    ゆい

    я бы еще рекомендовала установить мониторинг файлов, чтобы своевременно «ловить»,
    если что-то изменится или появится

    есть вот такой комбайн для защиты сайта
    WP Cerber
    https://ru.wordpress.org/plugins/wp-cerber/

    либо унифункциональный достаточно старый плагин только для мониторинга изменений
    https://ru.wordpress.org/plugins/file-changes-monitor/

    PS: за последние сутки на английском форуме появились несколько подобных тем.
    Во всех случаях виноват оказался Duplicator с оставленными «хвостами»

    • Ответ изменён 2 года назад пользователем Yui.
Просмотр 9 ответов — с 1 по 9 (всего 9)
  • Тема «Появились php файлы в uploads» закрыта для новых ответов.