Добро пожаловать на блог системного администратора.
Всё руки не доходили, написать что нибудь новое, про свою работу. А тут хостер написал, что файлы появляются, на вирусы похожие. Глянул, и правда, полный бардак. Пришлось изучать проблему.
Между делом сайт перевёл на php 7, но что-то пошло не так, глюки какие-то. Пришлось вернуться на предыдущие. Пока лень разбираться, может потом, как нибудь.
Обновлялся один плагин, background-image-cropper, сам, принося вредоносные файлы:
/wp-content/plugins/background-image-cropper/image/ico/search.php : {HEX}gzbase64.inject.unclassed.15.UNOFFICIAL /wp-content/plugins/background-image-cropper/image/ico/pas.php : PHP.HostComm.PHP.Webshell.i.0.UNOFFICIAL /wp-content/plugins/background-image-cropper/image/ico/dump.php : {HEX}php.generic.malware.443.UNOFFICIAL /wp-content/plugins/background-image-cropper/wp-post.php : {HEX}gzbase64.inject.unclassed.15.UNOFFICIAL
Обновил wordpress, плагины, перерыл полностью шаблон, на предмет непонятных скриптов. Удалил все неиспользуемые шаблоны. Поставил пару плагинов для поиска вредоносных вставок, таких как Anti-Malware Security and Brute-Force Firewall. Помогло. Подсказали файлы с вредоносным кодом. Что-то удалил, что-то почистил. Вручную перепроверил все картинки, часть оказалось файлами php с закодированным текстом. В общем целом увлекательное занятие
Рекомендую проверить свой файлик functions.php на наличие в нём следующих функций:
function _check_isactive_widgets
function _get_allwidgetscont
function_exists("stripos")
function_exists("strripos")
function_exists("scandir")
function _prepare_widgets
function __popular_posts
function _bloginfo($content)
При наличии придётся изрядно попотеть. Просто удаление не поможет. Эта зараза добавляется во все темы в папке themes. Правда есть маленькая хитрость, поставить на этот файл атрибуты «только чтение». Но найти источник заразы по любому необходимо.
Ко всему прочему. После удаления кода необходимо поменять пароли на вход в админку. Потому как этот вредоносный код уже своровал ваш пароль. Вот такая вот зараза)
Если заметите какие-то глюки, напишите
Ну и немного юмора, про компьютеры, которые тормозят и глючат:
Не доводите свои до такого состояния
Здравствуйте. Подскажите, что это за плагин background-image-cropper, какую он функцию выполняет на блоге. У меня тоже в нём оказался вирус, хостер написал на почту. Плагин снёс с и теперь мучаюсь с последствиями от него.
Ничего такого, чтобы был крайне необходим. Подробности https://ru.wordpress.org/plugins/background-image-cropper
Процесс удаления вредоносного кода я описал, будут вопросы, пишите.