Модератор
Yuri
(@yube)
А что в .htaccess?
И не лежат ли просто в корне сайта эти htm?
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule bwi-(.*).htm$ wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img/style.css.php [L]
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Модератор
Yuri
(@yube)
Увидели уже заразу, да?
RewriteRule bwi-(.*).htm$ wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img/style.css.php
Подложили к tinymce. Как — это другой вопрос.
не подскажете что сейчас сделать нужно. Удалить это из htaccess, сменить пароль на фтп? style.css.php в указанной папке надо удалять?
Модератор
Yuri
(@yube)
1. В .htaccess оставить только
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
2. Удалить (обязательно сохранив на память) style.css.php, а также все остальные файлы, которых быть не должно.
3. Проверить свой рабочий комп на наличие троянов.
4. Сменить пароли на ftp. Да и все остальные, какие только можно.
В данный момент произвол следующие действия (возможно эта проблема появится еще у кого-то):
В папке wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img/ оказалось куча левых файлов, которые содержали код страниц со спамом. Также еще какие то непонятные файлы. Все они были удалены, оставил только те, которые есть по умолчанию в WP (скачайте архив для установки WP и посмотрите что в этой папке должно лежать).
в htaccess оставил только
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Все спамные страницы пропали и отдают ответ 404 ошибки. Остается вопрос о том как предотвратить повторное появление спама.
Юрий, спасибо большое за помощь!
Модератор
Yuri
(@yube)
Такая же ситуация возникла у меня!
Обратился за помощью в хостинг компанию, и вот что получил в ответ!
Здравствуйте.
Судя по всему, Ваш сайт был взлом через какую-то уязвимость плагина tinymce. В директорию d-smile.ru/wp-includes/js/tinymce/plugins/inlinepopups/skins/clearlooks2/img/ было загружено большое количество файлов (в том числе и картинки, и страницы). Мы удалили все эти файлы и восстановили папку из первоначального дистрибутива CMS.
Рекомендуем Вам обновить все используемые плагины до последних версий, а не используемые — удалить.
Редактор TinyMCE — часть WordPress, но не плагин:
http://ru.wikipedia.org/wiki/TinyMCE
Именно через него взломать сайт нельзя, т.к. он выполняется на стороне клиента и сам по себе ничего не загружает на сервер. Но получив доступ к серверу, можно разместить в его каталогах собственные файлы (подобно тому, как создатели вирусов стремятся замаскировать их под системные файлы Windows), чем и воспользовались злоумышленники.
Перечитайте тему сначала — здесь уже написано, как исправить ситуацию, и есть ссылка на статью о том, как её предотвратить.
