У вас есть конкретная дата и время, открываете access.log и смотрите что в это время делал 159.242.228.170
Может к какому-нть xmlrpc.php POST какой-то слал, может еще что-то, к какому-то из файлов среди сайта (возможно это и есть бэкдор). Возможно файл куда он обращался сам по-себе невиновный, но "зараженный" - есть какой-то левый кусок кода в нем (часто через кучу пробелов чтоб не так заметно было)... есть масса возможных вариантов. Собственно я и предлагал же вам изучить активность по логам и найти проблему... бесплатно. Но не хотите - как хотите, смотрите в логах все запросы этого 159.242.228.170 для начала.
Благодарю!Как я уже писал, просто хотелось бы попробовать разобраться самому. К сожалению, самая свежая резервная копия была за 27 число, а взлом, судя по всему произошёл 24, поэтому получить чистый сайт из бэкапа не удалось.
В общем, по логам смог найти два левых файла /wp-content/languages/themes/wpml/tmp/V7Lo0OGgLi.php и/wp-content/plugins/td-composer/includes/templates/ZdPMh02afvCbG.php
Еще один должен был быть /wp-content/plugins/classic-editor/js/8Jfg0WKHQmW.phpНо, на данный момент уже был удален. Видимо через него и было осуществлено проникновение.
Также были обращения к /wp-content/themes/Newspaper/includes/js/page-template.phpТему и плагин Classic editor удалил и установил свежие.
Много обращений было в адрес /wp-cron.php?doing_wp_cron , что могло интересовать там незваного гостя?
Восстановил сайт из резервной копии, обновил все что можно было обновить, удалил некоторые устаревшие и не нужные плагины, установил Activity Log, Wordfence и WPS Hide Login.
Все это произошло 13 декабря.
14 убрал запрет доступа к сайту из .htaccess и открыл доступ к сайту редакторам
Два дня было немного не до сайта, но новых сложностей не возникало.
Сегодня зашел посмотреть что, да как. На первый взгляд, все выглядело нормально. Вот только плагина Activity Log не оказалось на месте.
Даже подумал, что забыл его установить. Установил снова зашел в логи, а там...
Некий пользователь
Username: MurraytowEmail: kerjongya@gmail.comNickname: murraytowIP: 159.242.228.170 с неизвестным статусом
Заходит на сайт создает другого пользователя с ником support, а затем уже с того же самого IP начинает работать System. Загружает на сайт архив prettyphoto-media.zip, затем устанавливает плагин prettyPhoto Media. Зачем то удаляет плагин Wp Automatic, которого, вроде как, и не должно было быть на сайте и на последок деактивирует плагин Activity Log.
Следом 16 числа захожу уже я как Administrator.
Что думаете по этому поводу?Выходит у взломавшего сайт все еще есть к нему доступ и судя по всему он уже прописал себя в базу?Что можно предпринять?
Если принятые меры не помогут, буду обращаться.
А так, восстановление из резервной копи предшествующей заражению, с последующим обновлением и закрытием известных дыр, вполне себе метод.
Просто переименовываете папку с сайтом, добавив префикс -old, а бекап восстанавливаете в новую директорию. И все остается на своих местах.
Спасибо
Надо было до восстановления из бэкапа искать. А так только всё усложнили. Ждите следующих взломов.
Как искать, если даже Айболит ничего не находит? Зараженную версию сайта не удалил - сохранилась.На восстановленной из бэкапа - обновил все плагины и тему, удалил неиспользуемое - вдруг поможет?
Смотрел файлы измененные за неделю до заражения, кроме картинок загружаемых на сайт, менялись только следующие файлы:
./wp-content/themes ./wp-content/themes/Newspaper ./wp-content/themes/Newspaper/style.css ./wp-content/themes/Newspaper/functions.php ./wp-content/themes/Newspaper/includes ./wp-content/themes/Newspaper/includes/js ./wp-content/themes/Newspaper/includes/js/page-template.php ./wp-content/plugins ./wp-content/plugins/ol_scrapes/logs/logs.txt ./wp-content/plugins/classic-editor ./wp-content/plugins/classic-editor/readme.txt ./wp-content/plugins/classic-editor/classic-editor.php ./wp-content/plugins/classic-editor/js ./wp-content/plugins/classic-editor/js/block-editor-plugin.js ./wp-content/plugins/classic-editor/LICENSE.md ./wp-content/languages/themes ./wp-content/languages/themes/wpml/tmp ./wp-content/languages/plugins ./wp-content/languages/plugins/classic-editor-ru_RU.po ./wp-content/languages/plugins/classic-editor-ru_RU.mo ./wp-content/upgrade
Попробуй wp-config.php поправить
подробней тут https://searchengines.guru/ru/forum/1050788
Вроде, стандартный конфиг.Я восстановил сайт из бэкапа, но зараженные файлы могли остаться.Знать бы где их искать....
Спасибо за ваше мнение, но топик совсем не обо мне.
Да. уж... Ниасилить таких простых слов.., ниасилить ссылку на нужный раздел форума, агриться на добрые советы..
Ну что ж, делай. Благодаря таким как ты нормальные спецы без работы не остаются - всегда есть что переделывать :)
За сим откланиваюсь.
Возможно, вам стоило чуть более конкретно выразить свою мысль и рекомендации, а не сыпать утверждениями о "тупо и топорно "? Давать ссылки на ветки форума никак не относящиеся к теме вопроса - топик про seo, ваша ссылка на раздел форума посвящённый техническим вопросам, без пояснений, что мне там искать, тоже как-то странно 🤷
То что вам что-то очевидно, вовсе не значит что очевидно для всех. Иначе не было бы этого форума.
Я так понимаю, ваш комментарий относился не к seo, а к технической части процесса?
Вы считаете что не нужно:
Я вижу вы специализируетесь на wp? Сайт о котором идет речь, как раз на wp. Буду благодарен если укажите более конкретно на топик, в котором описано, как желательно поступать в таком случае. Или лучше создать новый топик по данному вопросу в техническом разделе?
технический раздел
яндекс не поклеит, гугл наоборот
ТС у вас уникальная возможность сделать все по уму - через справочник , а гнз через папки. Для каждого города сделайте уник текст для гугла и будет вам счастье.
На поддоменах будет проще яндекс побороть, но дороже гугл. На папках наоборот
Т.е. вы считаете, что лучше присвоить одному сайту все нужные регионы в справочнике?
Не совсем понял почему геонезависимые через папки? По идее как раз для гео-зависимых нужны отдельные страницы. или под гнз вы в данном случае имеете ввиду запросы содержащие топоним?
Папки это, я так понимаю, разделы на сайте, типа, частнаяшкола.ru/первый-город/ ; частнаяшкола.ru/второй-город / ?
Тексты делают уникальными для того, чтобы Гугл и Яндекс не решили, что это один сайт. И не склеили все нафиг. А вот какой сайт при этом окажется главным...
как он может решить, что это один сайт, если у них будут разные регионы и контакты? Я думаю, никак.
Уверен, что и Яндекс и Google давно знают, что такое филиалы в регионах . А вот за дублирование и не уникальность текстов, предполагаю, вполне могут понизить
Это не упрощение, а ппц какое усложнение. Особенно в дальнейшей жизни сайта.
Это делается не так тупо и топорно. Но это технические вопросы сайтостроения, для них существует технический раздел
Могли бы промолчать ничего бы не изменилось. Если уж хотите сойти за умного и называете, что-то тупым и топорным, хотя бы потрудитесь хоть как-то обосновать свои слова. Ссылки на википедию, гугл или рекомендации почитать разделы на форуме, обычно указывают на то, что человеку абсолютно нечего сказать по сути.
Это понятно.Мне просто кажеться, что баннеры получились излишне пёстрыми.Но, дело видимо во мне, а не баннерах )
