frolalex

Печаль беда. Я уже два сайта восстановил, пока полет нормальный. Буду сегодня и все выходные наблюдать как себя будет вести один из двух сайтов, которые у меня вызывали наибольшие подозрения. Если ничего не влезет опять, то останется, скорее всего, только один, через который все и просочилось. На остальные как-то не грешу, сомневаюсь, что в них дело.

а что там с картинками? У меня под конец что-то тоже перестали отображаться миниатюры, а по клику на рабочие вместо изображения в полном формате выходила страница, мол не найдено. Насчет статейки, то она неплоха, объясняет весь ход действий, хотя, в принципе, он уже был понятен. Я сегодня тоталом поискал этот xm1rpc.php и нашелся как раз в load.php. В вашем случае, думается, ничего экстраординарного, просто, наверное, проникает вирус лучше в Wordpress, уязвимостей в нем хватает. Что касается того, что я говорил ранее, то, в общем, все снес, хостинг почистил от всей этой дряни и оставил только начатый сайт, остальные снес. Как итог, зараза не видна, то есть, нужно вычищать все скрипты и искать уязвимости. В вашем случае, это, похоже, какой-то один сайт, остальные заражены за компанию, так что как почистите вешайте на каждый сайт уникального пользователя и ждите второго пришествия, но только уже не ко всем, а к одному-двум-трем сайтам.

Спасибо за наводку, посмотрим, что можно сделать.

Это уж точно, только сайтов у меня гораздо меньше, у вас вообще атас. Кстати, заметил, что если сайт поломать, то есть на него не зайти по домену, то файл xm1rpc.php не создается. Что касается редериктов, то я защитил файл .htaccess от перезаписи и в этом плане все норм. Вот статейка на эту тему http://maxtop.org/optimalnyj-htaccess-dlya-wordpress/. А вот ссылочка на сам файл ( https://yadi.sk/d/ploHbLjj7L8Xm ), если нужен. Но его переписать необходимо будет, потому что адаптирован под Wordpress. Еще такой вопрос, у вас есть в корне хостинга папка cl.selector? У меня там два файлика подозрительных нашлись, и я решил их проверить Nod-ом. Он в них разочаровался, сказал, что вирус, и удалил к чертям собачьим. Короче говоря, похоже на то, что нужно шерстить все папки хостинга, а не только public_html. Я сейчас поудаляю свои сайты, подчищу хвосты вируса во всех папках хостинга и посмотрю, как он себя вести будет. Позднее отпишусь.

И не говорите, уже задрало с этим ковырятся. Я вот хочу эту дрянь вычислить и вычистить. Только нужно узнать откуда ноги растут, а не получается. Хотя когда у двоих проблема, теоретически можно найти какие-то пересечения. У меня сайты на Wordpress. Эта дрянь прописывается во корневых директориях сайтов. Появляется файл xm1rpc.php, изменяются index.php и .htaccess. Кроме того появляется вот это чудо 4bb0a250f62548654e50c3d29c4b6096.zip d730d81e7o133a51c2bddc5c68874ce.zip Кроме того, в папке wp-admin подменяется файл index.php, из-за чего в админку нельзя зайти. Также изменяется файл header.php тем Wordpress. Ну и еще заметил, что вышеупомянутые файлы появляются практически во всех папках хостинга.

да нет, не у одного. У меня аналогичная проблема, уже неделю бьюсь и корень вырубить не могу. От редериктов избавится то избавился, но вот от всего остального никак не получается. А у вас какие успехи?