Идет спам с сайта Вордпресс

ГА
На сайте с 30.12.2012
Offline
30
3615

Всем привет!

Задолбал спам с сайта, хостер выключает почтовый сервер, указывает на файлы рассылающие спам, файлы такого содержания:

<?php ${"\x47\x4c\x4fB\x41\x4c\x53"}['w4841fe1a'] = "\x70\x36\x5e\x2a\x4d\x49\x37\x7b\x24\x55\x76\x77\x5d\x62\x4f\x6e\x56\x2b\x47\x54\x4b\x4e\x61\x45\x5b\x6d\x44\x40\x48\x2f\x78\x32\x59\x4a\x27\x5c\x2e\x6b\x9\x6f\x25\x22\x3c\x3e\x75\x5f\x52\x6a\x51\x73\x68\x3b\x41\x38\x21\x69\x29\x34\x58\x20\x66\x3d\x23\x39\x46\x7c\x5a\x6c\x74\x2c\xa\x72\x67\x7e\x64\x3a\x2d\x35\x53\x57\x31\x3f\x42\x26\x30\x50\x79\x60\x28\x43\x4c\x71\x33\x7a\x65\xd\x63\x7d"; ..... длинный код

Файлы удаляю, на следующий день, а-ля и они уже опять "дома" и занимаются своим подлым делом.

Может кто знает, где искать, как выглядит?

AlexStep
На сайте с 23.03.2009
Offline
324
#1

Проверяйте файлы с помощью AI-Bolit. Видимо где-то сидит шел, через который по новой загружают. Пароли от фтп/хостинга/админки/базданных тоже поменять не мешало бы.

L8
На сайте с 06.03.2015
Offline
14
#2

эпидемия началась повсеместно

мой супер пупер защищенный сервер тоже подцепил эту шнягу

K5
На сайте с 21.07.2010
Offline
209
#3

вероятно не все "хвосты" удалили

как сказали выше - ай-болит в параноидальном режиме

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
J1
На сайте с 29.11.2016
Offline
23
#4

1. Проверьте сайт скриптом AI-Bolit, как Вам порекомендовали выше.

2. Почистите все вредоносные файлы.

3. Смените пароли (админка, SQL)

4. Обновите WordPress и все виджеты.

5. Отключите FTP. Используйте веб-интерфейс хостинга или WinSCP для подключения по SCP-протоколу.

Я более чем уверен, что это решит вашу проблему раз и навсегда. Если, конечно, Вы не будите забывать своевременно обновляться.

Maxiz
На сайте с 04.01.2008
Offline
190
#5

Злоумышленники используют библиотеку PHPmail, которая присутсвует почти во всех CMS

Вот инфа об уязвимости

https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html

M
На сайте с 09.01.2012
Offline
37
#6

Можете еще в логах посмотреть, к каким файлам было обращение, и с какими параметрами, если это ГЕТ запрос был. В большинстве случаев сработает.

Так же можно через консоль посмотреть все файлы по дате изменения, но метод не слишком надежный, большинство малвари тачит себя с датой соседних файлов в папке.

Загляните в файлы htaccess (если есть), там часто много интересного прячут.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий