Сайты на WP - тотальное заражение

Смена чистых папок из оригинальной версии движка может не помочь, т.к. заразу могут и в картинку вставить и не только движок может быть виноват.

"разделяй и властвуй чисти" - в смысле разделить по отдельным аккаунтам, затем айболитом и ручками все папки проверить

melkozaur, :D а как насчет того что надо найти как хакнули?

Вероятно, тому кто хакнул уже закатали ноги в тазик и в Гудзон) Теперича как взломали, просто нужно почистить 🍿 Теперь, ежели серьёзно, то, конечно же, вначале ищите дыру, через которую Вам всё это залили, иначе любые чистки ни к чему не приведут.

melkozaur, добрый вечер.

Еще надо обязательно менять пароль к БД.

Далее все папки админки лучше перезалить скачав WP с сайта. Потом надо смотреть шаблон и плагины (искал обычно файлы с измененной датой).

1) Попробуйте убить файл xmlrpc.php.

2) В .htaccess => защита wp-config.php

<Files wp-config.php>

Order Allow,Deny

Deny from all

</Files>

аналогично для файла wp-login.php но открыть для ваших ip-адресов

Allow from 192.168.0.1/16 (внутренняя сеть)

Allow from Ваши-ip

Закройте директорию <Directory .../wp-admin/></Directory> и откройте только для себя Allow from...

3) И последнее закройте доступ файлом .ftpaccess по фтипи с других ip-адресов кроме Вашего, будьте внимательны, иначе сами не сможете зайти!

<Limit ALL>

Allow from Ваши-ip адреса

Deny from all

</Limit>

Темы и плаги - перекачать с оф. сайтов. То, что дописывалось - вручную (+ айболитом не помешает)

В uploads - никаких пхп-файлов. И вообще запретить в них исполнение пхп.

Не помешает также проверить картинки виндовым антивирем.

начинать надо с тем - слишком уж много помоечных сайтов с бесплатными русскими темами, зараженными всякой гадостью. вы все вычистите - вас опять взломают.

плюс обновить вордпресс и плагины - в популярных плагинах время от времени находят дырки. из последнего - популярный революшен слайдер подвержен взлому.

Lord_Leon,

Спасибо, насчет IP не знаю - сайты не мои.

SeVlad, Flector, тут случай клинический: стояли 3 темы ломаные, скаченные понятно с каких сайтов, там могло быть что угодно.

Ну дык.. шож :)

Вообще не плохо бы глянуть дату создания файла(могли поменять но вдруг) потом посмотреть логи за эту дату,мб там будет конкретное обращение к бекдору в ломаной теме через гет запрос,если же обращение через пост запрос,то вы скорее всего данным способом не узнаете есть бекдор в скрипте или нету,тогда можно посмотреть ip,которые обращались к шеллу,если там всего 1 ip то вероятнее всего и заливка происходила с этого же ip,значит можно посмотреть в логах к каким скриптам обращался этот ip перед обращением к шеллу и искать в них. Так же,если всё таки бэкдор через метод POST, можно удалить все шеллы,которые можешь найти и после данной процедуры накатать скрипт,который логировал бы все POST запросы,а там уже смотреть. Может быть вообще никакого бэкдора нету и взлом этих сайтов произошёл из-за не обновлённого какого-нибудь плагина на одном из них,или же была сбручена админка(сложность пароля оцените сами и решите допускать ли данный вариант). Мог быть сбручен FTP,опять таки проверьте пасс на прочность. Могла быть использована не так давно найденная xss,которая активна до версии 3.9 включительно вроде бы,тогда у вас просто украли куки,вам необходимо обновить wp до последней версии, и поменять пароли. По поводу чистки,впринципе можете удалить всё,оставив только БД(оочень маловероятно что шелл обитает там) и поставить чистый wp. Можно попробовать использовать ai bolit,сам не использовал,но если честно не очень доверяю этому скрипту т.е. спрятать можно оочень хорошо.