sagio07

Frinteza:
Всем привет, в общем проблема с плагином в вордпрессе Seo Adviser (xcalendar), который я не устанавливал вообще.
Начну по порядку, как добрался до него.
Сегодня утром пришло письмо из гугла, мол ваш сайт взломали. Проверяю, действительно появилось в выдаче гугл (в яндекс нет ни одной такой страницы) около 60-70 страниц, в стиле: forexample.com/hotel-of-San-Francisko, тематика естественная для этого, начиная от виагры заканчивая казино, все статьи на английском и ни на одной нет внешних ссылок, изредка они ссылаются друг на друга, ну и естественно все страницы корявые. Проверяю сайт множеством он-лайн проверок - все норм. Потом проверяю антивирусом своего хоста и мне находит 18 инфицированных файлов.

Дальше решил сделать бекап с хостинга за 25.07.2015, так как предположительно троян появился 26.07 на хостинге, сделал, в итоге из этих 60-70 страниц почти все стали not found, осталось только 5-7, проверяю антивирусом все те же 18 зараженных файлов. Далее делаю бекап за 20.07.2015, антивирус - зараженных файлов нет, проверяю оставшиеся страницы в выдаче гугл, все тоже стали not found (но как выяснилось потом одна все же осталась и имеет прикольное название Test WP), думаю ура! обновляю вп (хотя он и был последней версии), далее иду к плагинам. Удаляю не используемые и обновляю используемые, и вот тут дело доходит до плагина Seo Adviser, начинаю вспоминать, что это такое и когда я его установил, не могу вспомнить (кроме меня плагины никто не мог устанавливать). Удаляю его и всё.. админка не работает и сайт тоже, просто белый экран без каких либо ошибок и т.д. Опять делаю бекап 20.07.2015 из хоста, сразу антивирус и опять эти же 18 файлов заражены. Вот скрин из админки на этот плагин.

Если перейти на страницу плагина, то будет такой же белый экран, как и при удалении этого плагина. Гуглил, искал этот плагин и никакой информации не нашел. Также пытался удалить его через фтп, еще и не сразу его нашел, так как в фтп он был под название xcalendar, удалил - сайт опять лежит. Появился он на хосте аж 26.06.2015 в 9 утра, а это значит, что 100% я его не устанавливал=)
Далее мне посоветовали, скачать архив за 20.07.2015 удалить все инфицированные файлы в нем и заменить их исходными, так как в них ничего и не менялось за это время. Сайтом начал заниматься с января 2015 и исходных файлов у меня не оказалось (видимо случайно удалил или запихнул хз куда), был на компе бекап от 13.03.2015, ну дамаю там то точно все чисто (этот архив был скачан и не открывался). Скачиваю бекап с хоста за 20.07.2015 распаковываю его, на компе уже более 7 месяцев стоит лицензионный Dr.Web и он сразу находит около 10 инфицированных PHP.Shell, сразу удаляет их. Далее распаковываю архив за 13.03.2015 и в нем Dr.Web находит эти же самые инфицированные файлы, то есть получается они с марта сидят и только сейчас начали действовать.

Теперь задаюсь вопросом это изначально на компе был вирус, хотя др.веб стоял до момента работы с сайтом или эти файлы были изначально инфицированы, еще смущает то что плагин TinyMCE заражен, мб он изначальная проблема? Так как он примерно был установлен через 2-3 месяца после запуска сайта(хотя я всегда обновляю используемые плагины, ну может пару дней бывают пробелы). В общем, если кто-то сталкивался с этим плагином Seo Adviser или что-то аналогичное моей ситуации, буду рад любому совету, заранее предупреждаю в этой теме я не очень силен (но за этот день прочитал тонну инфы), первый раз сталкиваюсь с таким, также можете посоветовать знающих в этом вопросе людей, конечно же за адекватную цену=) Если надо будет выложу код этого плохого плагина.