Вирус на сайте - подскажите, что значит?

12
X0
На сайте с 06.02.2019
Offline
8
1151

Wordpress.

На сайте был обнаружен вирус по адресу:

/public_html/wp-content/index.php

Вирусный код удалил.

Скажите, судя по коду.. что вирус делает?

Заранее спасибо!

jpg image.jpg
ZomBat
На сайте с 08.10.2016
Offline
24
#1

выполнение(eval) кода через запрос в адресной строке

в свободное время шаманю над веб-окружением VPS...
X0
На сайте с 06.02.2019
Offline
8
#2
ZomBat:
выполнение(eval) кода через запрос в адресной строке

а stripslashes и далее - срока кода? какой-то запрос? Я поменял пароли. Запись удалена. Может что-то еще нужно сделать?

Это сделано.. чтобы что? узнать пароль или отправить куки?

S
На сайте с 30.09.2016
Offline
469
#3
xmen007:
какой-то запрос?

Любой.

xmen007:
Может что-то еще нужно сделать?
Искать дыру и чистить сайт.
xmen007:
Это сделано.. чтобы что? узнать пароль или отправить куки?
Чтобы делать что угодно.
Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
LEOnidUKG
На сайте с 25.11.2006
Offline
1590
#4

Не важно, что он делает. Надо было запомнить КОГДА был создан файл и проверять по логам что и как.

Также обновить WP и все плагины.

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
S
На сайте с 30.09.2016
Offline
469
#5
LEOnidUKG:
Надо было запомнить КОГДА был создан файл

Они это делать не умеют.

Z0
На сайте с 03.09.2009
Offline
735
#6
LEOnidUKG:
...КОГДА был создан файл...
Sitealert:
Они это делать не умеют.

Когда создан? А так можно?

LEOnidUKG
На сайте с 25.11.2006
Offline
1590
#7
ziliboba0213:
Когда создан? А так можно?

В смысле можно? Ну время изменения/создания файла через любой FTP смотрится же.

S
На сайте с 30.09.2016
Offline
469
#8

ziliboba0213, у них стандартные действия - стереть следы взлома, а потом спрашивать "А что это было?". Потому что для чего-то толкового у них не хватает знаний. Другое дело, что обычно шелл заливают в несколько мест, и индексный файл - не исходное место проникновения.

Z0
На сайте с 03.09.2009
Offline
735
#9
LEOnidUKG:
В смысле можно? Ну время изменения/создания файла через любой FTP смотрится же.

Так изменения же... Или создания тоже можно глянуть?

Я чет никогда на это не обращал внимания, в тотале вроде нет такого 🤪

Sitealert:
ziliboba0213, у них стандартные действия - стереть следы взлома, а потом спрашивать "А что это было?". Потому что для чего-то толкового у них не хватает знаний. Другое дело, что обычно шелл заливают в несколько мест, и индексный файл - не исходное место проникновения.

Ну это понятно, зальют в волчью попу, а меняют индекс.пхп :)

Обычно вордпресс ломают на автомате, как я понял. Так что там вряд ли что-то мудреное :)

Я не спец в кодах, если шо, тапками не кидаемся :)

LEOnidUKG
На сайте с 25.11.2006
Offline
1590
#10
Так изменения же... Или создания тоже можно глянуть?

Если этого файла не было, какая разница то? Он же не из воздуха поменялся, значит что-то перед этим было.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий