Поддержка Проблемы и решения Хост присылает письма, что файлы WP заражены.

  • Как проверить? Лопатить весь код? Спасибо.
    wp-content/uploads/wp-uso.php : PHP.HostComm.WSO.default.sig.0.UNOFFICIAL
    1_html/wp-load.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/wp-config-sample.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/index.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/wp-cron.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/post.php : PHP.HostComm.#241227.PHP.BackDoor.remote.exec.inj.1.UNOFFICIAL
    1_html/wp-trackback.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/wp-settings.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/wp-content/plugins/systemcache.php : PHP.HostComm.Backdoor.AYA.0.UNOFFICIAL
    1_html/wp-login.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/wp-config.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/xmlrpc.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/wp-mail.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/wp-comments-post.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/wp-blog-header.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/wp-signup.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL
    1_html/wp-activate.php : PHP.HostComm.PHP.RCE_cookie_variable.0.UNOFFICIAL

Просмотр 9 ответов — с 1 по 9 (всего 9)
  • Модератор Yui

    (@fierevere)

    永子

    wp-content/uploads/wp-uso.php

    ну вот это точно не от вордпресса и лежит не в папке плагинов или тем
    очень подозрительно

    https://ru.wordpress.org/releases/
    остальное можно сравнить в фтп клиенте и при необходимости заменить чистой версией из архива

    Модератор Yui

    (@fierevere)

    永子

    post.php
    wp-content/plugins/systemcache.php
    тоже явно лишние

    Просто выпилить?

    Модератор Yui

    (@fierevere)

    永子

    перечисленные отдельно — да
    вордпресс можно переустановить кнопкой в Консоль > Обновления
    или переписать файлы через ФТП из архива дистрибутива
    папки wp-admin и wp-includes можно удалить перед заменой архивными

    но это не гарантирует полной очистки, файлы с бякой могут быть и в плагинах и в теме
    и опять же не устраняется причина как оно туда попало.
    Тему брали из официального каталога? https://ru.wordpress.org/themes/
    Или скачали откуда попало? Это самая частая причина появления вирусов/троянов на сайтах

    • Ответ изменён 7 лет, 5 месяцев назад пользователем Yui.

    Вот письмо, которое сегодня получил от хостера:

    Вы являетесь клиентом SpaceWeb.
    Ваш логин: XXXXXXXXX

    В ходе плановой проверки на Вашем аккаунте было обнаружено подозрительное, потенциально вредоносное, содержимое.
    Ниже приведены пути к найденным файлам, а также их описание:

    /home/v/vaparts2/citytaxi.su/public_html/wp-admin/css/colors/light/wp-ping.php. : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
    /home/v/vaparts2/citytaxi.su/public_html/wp-content/uploads/2016/09/wp-blog.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
    /home/v/vaparts2/citytaxi.su/public_html/wp-content/plugins/contact-form-7/includes/js/wp-plugins.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
    /home/v/vaparts2/citytaxi.su/public_html/wp-content/plugins/wp-clean-up-optimizer/views/cron-jobs/wp-register.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
    /home/v/vaparts2/citytaxi.su/public_html/wp-includes/SimplePie/XML/wp-taxonomy.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL

    Все файлы были с датами ранними чем родные файлы WordPress (Версия последняя WordPress 4.7.3)
    После удаления написал письмо след. содержания и поставил сайт на вирусную проверку на хостинге:
    Письмо в Техподдержку Sweb

    На сайте citytaxi.su опять появилось заражение
    Я все удалил, прошу помочь узнать с каких IP было произведено это и с помощью каких запросов и какие скрипты соответственно на сайте уязвимые?

    Сайт я обновил до последней версии и предыдущие IP-адреса я закрыл.
    Придется сообщить о этих уязвимостях разработчикам WordPress!

    Можно ли мне получать каким-то образом эти данные собственноручно и есть ли инструкция как это мониторить самостоятельно?

    О том чем всё закончилось отпишусь после!

    Да! Ещё следует заметить: так как раньше сайт был вскрыт похожим способом (в теме cherry и её плагинах была уязвимость) для проверки удалил ВСЕ темы кроме Twenty Sixteen т.е. последней официальной по умолчанию …дабы быть уверенным в точности результата.

    Модератор Yui

    (@fierevere)

    永子

    @viktorinox
    правила форума п2

    Не задавайте вопросы в чужих темах — для полноценного обсуждения создайте свою.

    Как это сделать??! Я у себя в профиле не нашёл!

    Модератор Denis Yanchevskiy

    (@denisco)

    WordPress-разработчик, denisco.pro

    Как это сделать??! Я у себя в профиле не нашёл!

    Создать тему можно перейдя по этой ссылке, также в каждом разделе в правой колонке есть ссылка «Создать тему».

Просмотр 9 ответов — с 1 по 9 (всего 9)
  • Тема «Хост присылает письма, что файлы WP заражены.» закрыта для новых ответов.