[Помогите] Как бороться с таким вирусом на Wordpress?

Тема в разделе "Wordpress", создана пользователем djchange, 21 дек 2015.

Модераторы: Sorcus
  1. djchange

    djchange Постоялец

    Регистр.:
    6 окт 2010
    Сообщения:
    113
    Симпатии:
    13
    Установлен WordPress 4.3.1, посадили вируса, который постоянно плодит файлы с вирусами.
    Хостинг постоянно ругается на эти файлы, удаляю их, но они появляются снова.
    Установил Block Bad Queries (BBQ) и BulletProof Security, но уже не спасает, очевидно где-то прописан скрипт, который плодит эти файлы.
    Как с этим бороться?

    Снимок экрана 2015-12-21 в 12.09.22.png
     
    NULLED555 нравится это.
  2. Antroplag

    Antroplag Постоялец

    Регистр.:
    16 апр 2007
    Сообщения:
    103
    Симпатии:
    32
    я бы так сделал:
    1) забекапить бд/файлы
    2) удалить весь вп+бд
    3) поставить чистую вп+бд
    4) импортнуть бд из бекапа
    5) запретить запись в каталоги wp
     
  3. joylord

    joylord Степной Волк

    Регистр.:
    27 дек 2012
    Сообщения:
    292
    Симпатии:
    147
    с чего вы взяли, что это вирус?
    скорее всего это вы пароли храните сохраненными в фтп-менеджере.
    смотрите по логам фтп
     
  4. snake_jan

    snake_jan Нарушитель

    Регистр.:
    26 июн 2012
    Сообщения:
    202
    Симпатии:
    21
    А кроме хостинга какие нибудь онлайн проверки проводили на вирусы? Шаблон стоит чистый?
     
  5. djchange

    djchange Постоялец

    Регистр.:
    6 окт 2010
    Сообщения:
    113
    Симпатии:
    13
    Это не пароли, шаблон стоял чистый, появилось это 2-3 недели назад, до этого сайт два года стоял и эти файлы не появлялись.
    я их все удалил, они появляются снова, под другими названиями, но уже где-то один в сутки.
    Если интересует могу выложить код который внутри этих файлов.
     
  6. djchange

    djchange Постоялец

    Регистр.:
    6 окт 2010
    Сообщения:
    113
    Симпатии:
    13
    как поставить запрет на запись в каталоги?
     
  7. joylord

    joylord Степной Волк

    Регистр.:
    27 дек 2012
    Сообщения:
    292
    Симпатии:
    147
    http://linuxway.ru/pervye-shagi/komanda-chmod-primery-ispolzovaniya/
    + я бы еще предложил:
    запретить доступ по айпи, кроме вашего
    обновить ВП + все плагины (удалить не нужные)
    все-таки посмотрите по логам (какой смысл искать иголку в стоге сена)
     
  8. pistolero

    pistolero Создатель

    Регистр.:
    1 окт 2013
    Сообщения:
    40
    Симпатии:
    13
    Возможно залили шелл и постоянно добавляют вам вредоносные файлы. Я бы еще вот как сделал:
    1) Распаковал бы какой-нибудь старый бэкап, ну к примеру недельной давности.
    2) Скачал бы зараженный сайт
    3) Сравнил бы старые (до момента заражения файлы) и новые зараженные файлы и папки. Чтобы посмотреть какие были сделаны изменения в коде. Это можно сделать с помощью Total Commander.
    Ну и конечно пока будешь искать вирус, нужно закрыть все каталоги для записи (атрибут 555 на папки).
     
  9. handaehan

    handaehan Создатель

    Регистр.:
    30 окт 2007
    Сообщения:
    40
    Симпатии:
    3
    В первую очередь найди причину появления вирусов на сайте: либо утекли пароли, либо где-то в системе есть уязвимости. В любом случае начни с изучения логов (доступа, фтп, ошибок и др.) и даты/времени изменения файлов.

    Если утекли пароли, а такое часто бывает при хранении паролей в фтп-менеджере (как это уже было озвучено выше, особенно файлзилле), то:
    1. смени пароли от хостинга (в т.ч. фтп)
    2. закрой доступ к сайту всем кроме своего ip через директивы в файле htaccess: deny from all и allow from 11.22.33.44
    3. залей на хост антивирь от яндекса и проверь на наличие шеллов и другого вредоноса https://yandex.ru/promo/manul#about
    4. поменяй пароль для пользователя бд
    5. обновись до свежих версий)

    Если же проблема возникает из-за уязвимости(ей), то:
    1. закрой доступ к сайту всем кроме своего ip через директивы в файле htaccess: deny from all и allow from 11.22.33.44
    2. залей на хост антивирь от яндекса и проверь на наличие шеллов и другого вредоноса https://yandex.ru/promo/manul#about
    3. поменяй пароль для пользователя бд
    4. устрани найденные уязвимости (к сожалению, легче сказать чем сделать)
    5. обновись до свежих версий)
     
    snpru и djchange нравится это.
  10. sfaiart

    sfaiart Создатель

    Регистр.:
    12 июн 2015
    Сообщения:
    24
    Симпатии:
    1
    Была аналогичная фигня, причем неоднократно. На компе стоит KIS, пароли генерирую соотв. тулзой, все надежные. Хостинг тоже проверенный. Постоянно заражались сайты на вп, перепроверял все что мог, менял пароли, восстанавливал файлы, бд и т.д. В конце-концов перешел с файлзиллы на Win SCP и больше с данной проблемой не сталкиваюсь. Доказательств у меня, конечно, нет, но про файлзиллу уже давно ходит информация про утечку паролей.