best-hoster: блокировка за рассылку учетной записью спама

Также присутствуют файлы, добавленные этой же фигнёй:

/public_html/site.ru/wp-includes/s.php

/public_html/site.ru/wp-includes/configs.php

/public_html/site.ru/wp-includes/error_log

---------- Добавлено 26.10.2012 в 17:40 ----------

Попросил, спасибо за совет

---------- Добавлено 26.10.2012 в 17:45 ----------

Это может быть странным, но с 50 сайтов, область поиска сузилась до 2х- оба этих файла объединяет один дизайн и видимо, одна сборка вордпресса.

Самое печальное, что это были купленные сайты без домена на этом форуме. Точнее, один куплен,- второй, это уже копия первого.

Совпадение ли =\

---------- Добавлено 26.10.2012 в 17:46 ----------

Ответ ТП по поводу отключения mail():

"mail() не отключается, тем более рассылали не через функцию ,а через авторизацию на SMTP сервер"

---------- Добавлено 26.10.2012 в 17:50 ----------

Продолжаем копать, уже теплее.

/public_html/site.ru/wp-includes/2.php

/public_html/site.ru/wp-includes/Alibaba.html

/public_html/site.ru/wp-includes/configs.php

/public_html/site.ru/wp-includes/finish.php <-- С юморком

/public_html/site.ru/wp-includes/index.php

/public_html/site.ru/wp-includes/index2.php

/public_html/site.ru/wp-includes/s.php

Да они прям хакеры!

Совет ТС'у:

Залейте .htaccess в папку wp-includes со следующим содержанием:

Если какой-нибудь придурок зальет shell, то воспользоваться им из браузера не сможет.

P.S. А еще желательно обновить WP. И различные модули тщательно проверять, лучший вариант - это скачивать с официального сайта WP.

Спасибо, попробую

ВП обновил, все модули обновил, лишние удалил. Вот только судя по датам изменения, первые файлы, которые появляются в этих папках это "s.php" и "configs.php"- не представляю, как их искать по модулям, т.к. врядли их прописывали именно так,- наверняка из нескольких строк, либо тоже в зашифрованном виде и через дальнейший ренейм.

Кстати, в том коде выше, именно в зашифрованной строке делался на ренейм:

$desti =$_SERVER***91;'DOCUMENT_ROOT'***93;."/wp-includes/wp-simple.php"; 

rename($source, $desti);

Видимо искать придется именно кодер/декодер таких строк в модулях.

Так именно его и надо искать :D А вы что ищете?

Я с похожей ситуацией сталкивался недавно, только рассматривал это дело со стороны администратора сервера, там половина информации вам не понадобится, смотрите командой find например файлы которые были изменены за последние сутки , после чего в логах веб сервера смотрите активность во время изменений а так же обращения к этому файлу, многое прояснит, уверяю. :)

Так же заказывал на форуме разработку сайта на WP, в итоге получил пару шелов. 🙅

Слабо связано, мне кажется в самом ВП придостаточно дыр, не дремлют и те кто их находит и использует, а если сейчас спросить у ТС какая версия у него ВП стояла до момента проблемы.... я думаю она будет отставать от релиза на 2-3-4 версии ... так о чем говорить ??? зашли себе на хакер.ру какой нить и прочитали как поломать WP версии x.x.x даже готовые експлоиды лежат и ждут, бери и ищи ребят которые забыли пропатчиться. :) Много ума как говорится не надо... :)

Не, стояла предыдущая последней версия. Не эры динозавров :)

согласен, к примеру я бы настроил авто обновление.

---------- Добавлено 27.10.2012 в 01:43 ----------

там плагины или темы могут быть специально уже с шеллом, к тому же может через соседний сайт проникли поэтому сайты желательно разносить по раным пользователям в системе.

в самом ядре я бы не сказал что проблемы, мои сайты личные на вп ни разу не ломали т.к перед установкой я обычно всегда заглядываю в код и бегло пробегаю а обновляются они не всегда вовремя.

спам то ладно, обычно любят заливать фейк какого либо банка.