Вирус на вордпресс

А что за вирус? Каталог сайта сканировал антивирусом?

Изменить мог любой, если был доступ могли и залить шелл для дальнешей "работы", смотрите внимательнее файлы.

NOD32 HTML/ScrInject.B.Gen

Другие антивирусы не определяют. Просто идёт большая нагрузка на сервер, мой сайт могут забанить на сервере(такое уже было).

По фтп изменений не было, только залили файл FACEBOOK-DSC0000897643223501019.jpg.exe, который я удалил.

Теперь(хоть файла и нет) но где-то ещё остался вредоносный код.

78.51.143.135 - - [30/Apr/2012:13:04:28 +0400] "GET /FACEBOOK-DSC0000897643223501019.jpg.exe HTTP/1.1" 404 5370 "http://www.facebook.com.image**.tk/Photo-DSC448652797r6e9q.jpeg" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"

таких запросов в сутки очень много!!!

http://www.facebook.com.image**.tk/Photo-DSC448652797r6e9q.jpeg - открывает мой сайт, но так как файла Photo-DSC448652797r6e9q.jpeg нет, то выдаёт 404 ошибку, т.е. страница не найдена.

Просто каким-то образом при запросе image**.tk заходит на мой сайт. Как такое возможно???

---------- Добавлено 01.05.2012 в 21:02 ----------

/index.php чист

---------- Добавлено 01.05.2012 в 21:04 ----------

Rxp, что именно просмотреть?... просто вордпресс весь из php состоит, проще бекап восстановить, но у меня есть только старый.

Скорее всего редирект. Ну или домен на ваш IP указывает, если он у вас выделенный.

Упакуйте пожалуйста этот файл в архив с паролем virus и пришлите его мне на mail@infsecvir.ru. Посмотрю, что это такое вообще.

Ну у сайта естественно постоянный ip...

Запретил временно доступ к сайту с помощью плагина по маске *facebook.com.image*.

В файле .ht... редиректа нет

---------- Добавлено 01.05.2012 в 21:26 ----------

В том то и проблема, что я не знаю в каком файле вирус. У меня стоит AVIRA. Я переписывался с несколькими людьми у которых возникла проблема зайти на мой сайт. У всех стоит NOD32. Антивирус не показывает в каком файле вирус, просто блокирует доступ к сайту.

"Сначала долго пытается загрузить, а потом выскакивает------------ http://site.ru/page

Описание:

ESET Smart Security заблокировал доступ к веб-странице.

Страница находится в списке веб-сайтов с потенциально опасным

содержимым."

---------- Добавлено 01.05.2012 в 21:31 ----------

http://antivirus-alarm.ru - проверил сайт

Список проверяемых файлов:

Job id: 60300, page_id: 23382, Итоговые коды: GL,VIR

1. http://site.ru/wp-content/plugins/wp-notcaptcha/lib/trackbar.js, тип файла: javascript

2. http://counter.rambler.ru/top100.jcn?2258938, тип файла: javascript

3. http://site.ru/wp-includes/js/jquery/jquery.js?ver=1.4.2, тип файла: javascript

4. http://site.ru/, тип файла: html

• содержит сомнительную ссылку по версии гугла: feeds.feedburner.com

• содержит сомнительную ссылку по версии гугла: www.liveinternet.ru

Из ВСЕХ(около 40) антивирусов только NOD32 определяет.

Создайте пустой файл /FACEBOOK-DSC0000897643223501019.jpg.exe нагрузка от обработки 404 ошибки может быть в несколько раз больше, чем отдача небольшого статического файла.

Sigmo#ID, спасибо за совет. Доступ запрещён, это временное.

Но хотелось бы услышать совет как найти и удалить вредоносный код.

Пока у вас был вирус вы попали в чёрный список, теперь нужно запрос на исключение из него подавать.

http://forum.esetnod32.ru/forum33/topic3584/

Ну так надо выяснить. Заходите через ftp и скачиваете свой сайт (начиная с папки www.) и затем проверяете весь сайт штатно. Что сложного-то?