Anonymous User 17160716
(@anonymized-17160716)
mazurik, при заражении ресурса целесообразно из оригинального архива восстанавливать файлы в корневой директории (все, кроме wp-config.php) и полностью директории /wp-includes с /wp-admin. Файл wp-config.php проверить на наличие подозрительного кода.
Только у них в этой папке права 0755
Такой себе ориентир, если честно. Лучше хотя бы на дату модификации смотрели, в контексте проблемы это более полезная информация.
Народ, вопрос: Файлы load.php и template-loader.php вообще в папке wp-includes должны быть?
Да, должны, но в вашем случае они модифицированы. С вероятностью в 99% процентов можно сказать, что не только они. По этой причине и стоит хотя бы часть файлов восстанавливать из оригинального архива WP.
Ну, короче, с этой проблемой мне удалось разобраться. Но первопричину я так и не нашел… Если кто-то столкнется с чем-то подобным, расскажу как мне удалось найти гадину…
Как я уже писал, в корне у меня появилось 2 папки:
network с файлами
— idlogs.txt
— index.php
— logs.txt
— map.log
— moban.html
web_map с десятком *.xml файлов. Удаление этих папок не помогало, т.к. они появлялись вновь.
Первым делом я удалил папку web_map и удалил все права на папку network.
После этого я сделал поиск по всем файлам на сервере, по фразе network/index
Нашел эту фразу в следующий файлах:
.htaccess
/wp-admin/images/align-lefts.png
/wp-admin/images/align-rights.png
/wp-admin/images/align-centers.png
/wp-includes/images/smilies/icon_blacks.gif
/wp-includes/images/smilies/icon_reds.gif
/wp-includes/load.php
/wp-includes/template-loader.php
Файлы gif и png при открытии в любом текстовом редакторе оказались html или php страницами. Их просто удалил.
В файлах php был лишний код. Их залил из исходника.
На все файлы были права 0755 и выше.
Файл .htaccess также залил из исходника.
После этого вся «левая» движуха на сервере прекратилась. Пока.
Надеюсь, кому-то поможет.
Спасибо всем, кто отозвался.
mazurik, при заражении ресурса целесообразно из оригинального архива восстанавливать файлы в корневой директории (все, кроме wp-config.php) и полностью директории /wp-includes с /wp-admin. Файл wp-config.php проверить на наличие подозрительного кода.
К сожалению, я не могу быть уверенным, что не убью сам сайт, ибо делал его не я, и какие изменения вносил автор сайта и предыдущие админы, и в какие файлы — я не знаю (((
Anonymous User 17160716
(@anonymized-17160716)
mazurik,
Но первопричину я так и не нашел…
Если логов уже нет, тогда поищите по WPVulnDB свои плагины, может быть ситуация прояснится.
К сожалению, я не могу быть уверенным, что не убью сам сайт, ибо делал его не я, и какие изменения вносил автор сайта и предыдущие админы, и в какие файлы — я не знаю (((
Перечисленные файлы и директории /wp-admin и /wp-includes вообще не предназначены для самодеятельности. Все рабочие файлы по сайту лежат в /wp-content. Это первое. Второе — сделайте полную резервную копию 🙂 И со спокойной душой уже работайте над своим ресурсом.
Друзья, как я и писал, папку куда вредоносный код постоянно добавлялся я удалил. Однако в Инструментах — Redirection — 404 постоянно добавляются новые страницы 404 с теми самыми левыми урлами. Т.е. все еще откуда-то идет обращение к моему сайту по этим адресам… Как можно увидеть откуда они идут?
Разобрался! Это боты поисковиков:
http://yandex.com/bots
http://search.msn.com/msnbot.htm
Но они каждые 2 минуты эти страницы проверяют. А по факту их на сайте давно нет… Что делать?
-
Ответ изменён 4 года, 1 месяц назад пользователем mazurik.