- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Приехало от хостера, мол, спам рассылаете, обузайтесь.
Дак чего ж обуздываться, если не шлем?
Ситуевина следующая: сайты на ВП в полузаброшенном (ах!) состоянии.
Изучил логи, оказывается, class-phpmailer.php рассылает.
Вник в тему, почитал Серч, да, была такая уязвимость под Новый год, но теперь непонятно чего делать. Ведь я так понимаю, это некий служебный скрип, и даже если его грохнуть, то шелл, или чего там куда залили, все равно останется?
Просканиловал айболитом - находит именно этот самый файл в качестве зараженного.
В общем, если я этот class-phpmailer.php удалю или переименую (т.к. с сайтов нет необходимости рассылать письма) проблема прекратится?
В каком направлении рыть?
1. накатить поверх существующего ВП свежую версию с офф.сайта
2. подключить логер ПОСТ-запросов и отследить к какому скрипту идут обращения для спама, а дальше найдете где шэл спрятан
1. накатить поверх существующего ВП свежую версию с офф.сайта
2. подключить логер ПОСТ-запросов и отследить к какому скрипту идут обращения для спама, а дальше найдете где шэл спрятан
Спасибо, но тут дело в том, что я использую как раз последнюю версию из сайта mywordpress.ru, то есть, обновляться далее некуда.
---------- Post added 06-03-2017 at 19:01 ----------
А если этот class-phpmailer.php вообще грохнуть (т.к. с сайта ничего не рассылаем), это решил проблему?
отключить вовсе почту на аккаунте
Спасибо, но тут дело в том, что я использую как раз последнюю версию из сайта mywordpress.ru, то есть, обновляться далее некуда.
---------- Post added 06-03-2017 at 19:01 ----------
А если этот class-phpmailer.php вообще грохнуть (т.к. с сайта ничего не рассылаем), это решил проблему?
это стандартный файлик из архива ВП. скорее всего шэл зарыт где-то плагинах или в шаблоне и использует стандартные вызовы ВП
Спасибо, но тут дело в том, что я использую как раз последнюю версию из сайта mywordpress.ru, то есть, обновляться далее некуда.
---------- Post added 06-03-2017 at 19:01 ----------
А если этот class-phpmailer.php вообще грохнуть (т.к. с сайта ничего не рассылаем), это решил проблему?
У тебя уже весь сайт заражён. А заразился через класс PHPMailer ,в котором была обнаружена критическая уязвимость ещё в декабре 2016г.
Чисть весь сайт с помощью AI-Bolit, а так же ищи левые срипты и шеллы, который Ai-Bolit не всегда найти может. Если есть ещё неизолированые друг от друга сайте у тебя на акаунте на хостинге, то придётся их тоже чисить.
У тебя уже весь сайт заражён. А заразился через класс PHPMailer ,в котором была обнаружена критическая уязвимость ещё в декабре 2016г.
Чисть весь сайт с помощью AI-Bolit, а так же ищи левые срипты и шеллы, который Ai-Bolit не всегда найти может. Если есть ещё неизолированые друг от друга сайте у тебя на акаунте на хостинге, то придётся их тоже чисить.
Да, это виртуальный хостинг.
Выкачал все сайты на комп, засканил айболитом, то, что он понаходил, подправил. Но ничего похожего на вирусы. Вообще как шелл должен выглядеть? Это же какой-то левый файл, или это приписка в стандартный файл?
Чем еще можно засканить после айболита?
отключить вовсе почту на аккаунте
Да, в 99% случаев, они идут через почту
а можно подробнее?
а можно подробнее?
/ru/forum/953300
Спасибо, но тут дело в том, что я использую как раз последнюю версию из сайта mywordpress.ru, то есть, обновляться далее некуда.
Не спец в вп, но по моему вы используете левую старую версию от левого старого сайта.
Официальный русский сайт - https://ru.wordpress.org/ и официальная версия 4.7.3