Модератор
Yui
(@fierevere)
永子
wp-content/uploads/wp-uso.php
ну вот это точно не от вордпресса и лежит не в папке плагинов или тем
очень подозрительно
https://ru.wordpress.org/releases/
остальное можно сравнить в фтп клиенте и при необходимости заменить чистой версией из архива
Модератор
Yui
(@fierevere)
永子
post.php
wp-content/plugins/systemcache.php
тоже явно лишние
Модератор
Yui
(@fierevere)
永子
перечисленные отдельно — да
вордпресс можно переустановить кнопкой в Консоль > Обновления
или переписать файлы через ФТП из архива дистрибутива
папки wp-admin и wp-includes можно удалить перед заменой архивными
но это не гарантирует полной очистки, файлы с бякой могут быть и в плагинах и в теме
и опять же не устраняется причина как оно туда попало.
Тему брали из официального каталога? https://ru.wordpress.org/themes/
Или скачали откуда попало? Это самая частая причина появления вирусов/троянов на сайтах
-
Ответ изменён 7 лет, 5 месяцев назад пользователем Yui.
Вот письмо, которое сегодня получил от хостера:
Вы являетесь клиентом SpaceWeb.
Ваш логин: XXXXXXXXX
В ходе плановой проверки на Вашем аккаунте было обнаружено подозрительное, потенциально вредоносное, содержимое.
Ниже приведены пути к найденным файлам, а также их описание:
/home/v/vaparts2/citytaxi.su/public_html/wp-admin/css/colors/light/wp-ping.php. : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
/home/v/vaparts2/citytaxi.su/public_html/wp-content/uploads/2016/09/wp-blog.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
/home/v/vaparts2/citytaxi.su/public_html/wp-content/plugins/contact-form-7/includes/js/wp-plugins.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
/home/v/vaparts2/citytaxi.su/public_html/wp-content/plugins/wp-clean-up-optimizer/views/cron-jobs/wp-register.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
/home/v/vaparts2/citytaxi.su/public_html/wp-includes/SimplePie/XML/wp-taxonomy.php : PHP.HostComm.#28463.evb64.0.UNOFFICIAL
Все файлы были с датами ранними чем родные файлы WordPress (Версия последняя WordPress 4.7.3)
После удаления написал письмо след. содержания и поставил сайт на вирусную проверку на хостинге:
Письмо в Техподдержку Sweb
На сайте citytaxi.su опять появилось заражение
Я все удалил, прошу помочь узнать с каких IP было произведено это и с помощью каких запросов и какие скрипты соответственно на сайте уязвимые?
Сайт я обновил до последней версии и предыдущие IP-адреса я закрыл.
Придется сообщить о этих уязвимостях разработчикам WordPress!
Можно ли мне получать каким-то образом эти данные собственноручно и есть ли инструкция как это мониторить самостоятельно?
О том чем всё закончилось отпишусь после!
Да! Ещё следует заметить: так как раньше сайт был вскрыт похожим способом (в теме cherry и её плагинах была уязвимость) для проверки удалил ВСЕ темы кроме Twenty Sixteen т.е. последней официальной по умолчанию …дабы быть уверенным в точности результата.
Модератор
Yui
(@fierevere)
永子
@viktorinox
правила форума п2
Не задавайте вопросы в чужих темах — для полноценного обсуждения создайте свою.
Как это сделать??! Я у себя в профиле не нашёл!
Как это сделать??! Я у себя в профиле не нашёл!
Создать тему можно перейдя по этой ссылке, также в каждом разделе в правой колонке есть ссылка «Создать тему».