Garin33, думаю сейчас под каждый сайт создать своего пользователя или под группу сайтов, чтобы посмотреть, где все-таки дыра. Есть подозрения на несколько сайтов. Если причина в них, после такой изоляции это станет понятно.
посмотрел бэкап месячной давности, в папке с галереей NextGEN тогда пару файлов не было, которые айболит сейчас пометил, как вредоносные. Один из них с пометкой как исполняемый файлов unix, другой с подозрением на вредоносный код. Откуда эти файлы появились непонятно.
Greensneak, да нет, права стояли 644.
еще на одном из сайтов на wordpress установлена галерея NextGEN Gallery. Айболит уж больно много в ней нашел подозрительных файлов. Никто ранее не сталкивался с тем, что источником заразы являлась именно эта галерея?---------- Добавлено 02.06.2013 в 20:12 ----------Greensneak, да я это все удаляю, но iframe коды и другие все равно появляются в файлах index.php.
xblogger, я регулярно их делаю, но старые архивы удаляю. Дело в том, что они весят у меня больше 10 гб. На всех места не хватит)---------- Добавлено 02.06.2013 в 20:10 ----------что можете написать про сигнатуры исполняемых файлов unix? Также на всех моих сайтах, сделанных на wordpress 8 мая появилась папка под названием wordpress, в которой содержалось 18 файлов примерно таких названий .aknown.wp3_1_2, .aknown.wp3_3 и тд. Есть подозрение, что именно с той даты все и началось. В файлах содержатся различные числа в столбик. Вот, например, часть одного их файлов:
-408530739
950275332
2408605834
-291168684
-1609306483
-264917416
-1250685838
-1920904785
-1846101768
699583927
-3746839011
-526072494
2890028923
-3198618529
2117916539
395090752
-2393108515
-2934243216
-16348759
Хотя вряд ли цифрами можно что-то сделать, но как же все таких появились эти файлы на сайтах, непонятно.
Greensneak, права вроде бы у всех указаны верные.
Посмотрел Лог подключение по FTP, везде только мои ip. Как тогда может код попадать на сайт, если других ip в логах нет?---------- Добавлено 02.06.2013 в 19:48 ----------
у меня таковых нет. Возможно, имеются на удаленном сервере.---------- Добавлено 02.06.2013 в 19:53 ----------на одном из сайтов айболит нашел вот что: Найдены сигнатуры исполняемых файлов unix. Они могут быть вредоносными файлами.
Ранее такого он не находил. Может быть, причина в них?
Denxx, ,бэкапы всегда делаю.
6666, а что касается плагинов, тоже сносить их папки и ставить их заново? настройки плагинов в таком случае в бд сохранятся?---------- Добавлено 02.06.2013 в 19:25 ----------некоторое время отсутствовал, хостера попросил отключить сервер, в том числе и ftp, прихожу код снова появился в index.php. Как такое возможно? или зараза уже сидит где-то в файлах и генерит этот код? И доступ по фтп ей уже не нужен?
то есть сносить по ФТП файлы и папки движка и ставить новые? А плагины как обновлять?
был бы благодарен за ссылочки на таковых.
проверял Нортоном.
это да, уже не раз об этом читал, но никак не могу отвыкнуть, уж больно удобно. ) Пароли от сайтов и VPS в браузере тоже лучше не хранить, правильно?
6666, сейчас меняю права на некоторые файлы, чищу все то, что нашел айболит, обновляю файлы timthumb.php, если таковые находятся, убираю ненужные плагины, обновляю версии wordpress и всех плагинов, меняю пароли, защищаю сайты при помощи .htaccess, делаю бекапы, конечно, перед этим всем делом. Если не поможет, то думаю обратиться за помощью к создателям скрипта айболит. Вроде по отзывам хорошие специалисты.
Кстати, можно ли как-то разделить сайты по разным аккам в пределах одного VPS? Или лучше разделить сайты по разным VPS для большей безопасности?
xblogger, ну вот им и нашел, благодарю.
файл был найден в плагинах wordpress-popular-posts и igit-related-posts-with-thumb-images-after-posts. При чем в последнем на него стоят права 755, как и на все файлы этого плагина. Может, стоит изменить на 644?
Сейчас буду проверить этим плагином другие сайты, пока проверил только один.
