[Помогите] После взлома появились страницы, найти никак

Тема в разделе "Wordpress", создана пользователем devil985, 15 окт 2015.

Модераторы: Sorcus
  1. devil985

    devil985

    Регистр.:
    8 янв 2009
    Сообщения:
    168
    Симпатии:
    10
    Здравствуйте, на сайт работающем на wordpress попал вирус, по сути просто фрейм, который был успешно вычищен. Недавно обнаружил что в индексе около 11 тыс страниц, хотя на сайте от силы 200-250.

    Сылки вида site.ru/vulkan-stavki.html или site.ru/forum/dlia-muzhib-so-slab-erect.html (таких файлов на хостинге нет.)
    Сами спам страницы показываются при переходе из поисковой системы и без авторизации, и представляют собой шифрованный ява скрипт с подгрузкой фрейма с другого сайта (почти всегда разные).

    Хвосты найти никак не могу, что это может быть?

    Антивирус хостера ниего лишнего не видит, в админке тоже чисто, доступы к admin-ajax.php и тд закрыт через htaccess.
     
  2. javx

    javx

    Регистр.:
    28 авг 2015
    Сообщения:
    520
    Симпатии:
    239
    Может в файле роботс.txt эти адреса указаны (или были указаны). Через инструменты вебмастера в хроме можно увидеть хвосты.
     
  3. timur_

    timur_ Постоялец

    Регистр.:
    27 окт 2014
    Сообщения:
    72
    Симпатии:
    40
    Проверь БД
     
  4. devil985

    devil985

    Регистр.:
    8 янв 2009
    Сообщения:
    168
    Симпатии:
    10
    что там искать? прошелся поверхностно вроде ничего нет. и как вообще это может работать?

    в роботс чисто, там только закрыты от индексирования внутренние папки вордпресса
     
    Последнее редактирование модератором: 22 окт 2015
  5. javx

    javx

    Регистр.:
    28 авг 2015
    Сообщения:
    520
    Симпатии:
    239
    Возможно страницы ведут на не существующую страницу, т.е. скрипт с фреймом на 404 странице
     
  6. vytyacom

    vytyacom Постоялец

    Регистр.:
    19 ноя 2014
    Сообщения:
    136
    Симпатии:
    54
    первым делом надо проверить wp-config.php на левые скрипты
    а лучше просто взять скачать новый вп с вордпресса и на хост его сверху заменить

    но если есть нуленные темы и плагины, то посоветовал для начала б их грохнуть
     
  7. devil985

    devil985

    Регистр.:
    8 янв 2009
    Сообщения:
    168
    Симпатии:
    10
    тоесть скрипт берет содержание ссылки и в зависимости о нее уже запрашивает тот или иной фрейм?

    ок, попробую, нуленных нет - проект чистый, то что было нужно покупали.
     
  8. denverkurt

    denverkurt Denve®

    Регистр.:
    23 дек 2013
    Сообщения:
    610
    Симпатии:
    347
    в .htaccess посмотрите, может быть редиректы какие-нибудь ведущие вглубь директорий сайта
     
  9. topdop

    topdop Создатель

    Регистр.:
    13 авг 2015
    Сообщения:
    10
    Симпатии:
    2
  10. timur_

    timur_ Постоялец

    Регистр.:
    27 окт 2014
    Сообщения:
    72
    Симпатии:
    40
    поиском чекать "vulkan" и ссылки, описанные в ОП-посте, а вообще захламленным может быть файлик function.php, основные файлы самого wp.
    открой страницу и через инструменты разработчика в браузере смотри ресурсы, что и какие файлики используются.