гм, дыра в вордпрессе?
Возможно, разрабы ее не нашли/не пофиксили.
Откатить и понаблюдать логи - когда снова вырастет - поискать там по имени вредоносов.
Нужно будет логировать гет (апач по дефолту должен логировать) и пост-запросы (для пост-запросов - создать скрипт, его подключить через штацесс к каждому скрипту и пусть он логи в папку пишет по датам - это уже задача для прогера).
Возможно, можно так будет найти, через что льют.---------- Добавлено 16.10.2015 в 21:09 ----------
Похоже на это.
Надо ковырять логи.
Про пост-запросы не забывайте-там много интересного бывает...
Больше сказать за глаза нечего....
Не все значит нашли или не закрыта дыра.
Также может быть похакан сервак.
Слышал про ихц, что у них часто были проблемы с безопасностью, не знаю, как сейчас....
Дыра также может быть в каком-либо стороннем плагине.
Если в движке/плагинах есть дыра - то это заливают боты.
Посканьте айболитом бд и скрипты - вдруг что найдется.
У одного вебмастера была похожая проблема -оказался вредоносный скриптик лежал на сайте в укромном месте.
Только в айболите ставьте макс. чувствительность и задайте в пхп-ини размер памяти под пхп побольше -чтобы дамп айболит смог проверить.
Лучше сканить на локальном компе -там все равно обычно на нагрузку.
Хотите бесплатное решение - гуглите.
За глаза никто ничего не скажет на 100%..
По идее или:
1)Дублирование
2)Или собственный сервак....
Не думаю, что нормальную компенсацию кто-либо заплатит....
Это пробовали:
?
Если не поможет, значит, надо руками искать, как это попадает на сайт....
Погуглил чуток - у многих такая проблема с вордпрессом проявилась (сторонние скрипты аптолайкед, css.googleaps.ru.....). Способа - делаем то-то и все ок пока не увидел.
Возможно - дыра в самом вордпрессе из коробки и простое тотальное обновление всего и вся не поможет.....
Если так - то перекапывать весь вордпресс надо, а это прилично человекочасов...
Защита за 2 000руб?
Что-то мало, аудит кода руками, а не простое сканирование стоит везде намного дороже....
Из бесплатных вариантов обновление всего и вся часто помогает, но, конечно, не всегда....
Вообще куда только админы смотрят? Ведь это реклама!
"Ах да еще одну вещь выяснил, находил один дор, при переходе из гугла он мне страницу показывает со своей инфой, а если я переходу по внутренней ссылке с самого сайта то мне 404 выдает. Как это устроено?" -это все ок?
Возможно, поэтому и не дает гугл траф....
Или этого уже нет?
Возможно, зараза проверяла реферер -если поисковик-отдавала дор, если реферер-сайт-то 404...
"Почти не было?"
Скорее всего, тс что-то пропускает....
Действительно, почему бы не свериться с офиц. дистрибутивом?
Можно скачать оф. скрипты и сравнить их чем-нибудь со своими, например - WinMerge.
Айболитом тоже, конечно, можно попробовать проверить, может помочь найти, откуда это "растет".
Все верно народ говорит.
Может быть шаблон с сюрпризом, сюрприз лежал до поры до времени, и вот им решили воспользоваться....
Ничего не сказано толком конкретно, поэтому одни догадки.
Скорее всего - недавно варезный шаблон поставили, не проверили, нет ли "мин", и вот результат...
Или вовремя не обновились.
А если дыра - не шелл, а нечто другое?
Например, предположим:
На фронте сайта есть возможность загрузки фото пользователями.
Если фильтрация по расширению недостаточная, залитый файл не обрабатывается (ресайз, ватермарк...) + в папке, куда льется файл, возможно исполнение пхп и сервак исполняет файлы вида ххх.php.jpg как пхп - то вместо фото мы можем получить залитый шелл, который наделает бед...
Или предположим есть SQL-инъекция, с помощью которой можно получить пароль от админки, а далее.... ну понятно, что далее.
Да и сам шелл просто так не "вырастет", если на серваке и на компе клиента все ок.
