при открытии файла iytutiu.php(появляются файлы на хостинге в разных папках с абракадаброй в имени файла) срабытывает nod32 и находит PHP/Agent.NFT.1. Как/чем определили детект?
ftp я отключил уже давно. Не знаю откуда вирус опять берётся.2. Насколько я понимаю заражение проявляется загрузкой нового файла на FTP, верно?
Какой скрипт?3. Скрипт обновлен до актуальной версии?
Akismet Anti-Spam4. Какие плагины используются?
В разных папках появляются файлы с телом вируса PHP/Agent.NFT (файлы вида eyuyryer.php), также в файлах wordpress например wp-settings.php, index.php и других появляется или include (после include следует кодированный путь к файлу с расширением .ico в котором обычно ещё один вирус вида криптик).5. Как проявляет себя заражение?
Уже один раз выкачивал себе на комп файлы с хостинга, проверял айболитом, поудалял все вирусные файлы и include из зараженных файлов.1. Необходимо проверить файлы на ftp, для этого используем скрипт для сайтов, не перепутайте AI-Bolit - антивирус для сайта, сканер вирусов на хостинге и сайте или сравнить с эталонными (заведомо чистый бекап или файлы скрипта)
Пароли все сменил, ftp вообще выключил.2. Сменить все пароли связанные с сайтом (администратора, FTP, SSH и т.д.)
Подразумевается движок сайта (в нашем случае вордпресс).Какой скрипт?
Понятно. Да вордпресс обновлял.Подразумевается движок сайта (в нашем случае вордпресс).
хостер джино. да попробую обратиться.Что за хостер у вас? Нужно к нему обратиться с просьбой проверить логи и определить вектор атаки (кто и когда заливает shell).
да был левый администратор, уже удалил его. Пока больше не появляется.Пользователей WP проверяли, случаем не появился ли там новый администратор.
да свой комп уже проверял cure it. Была какая то запись в hosts, а так всё нормально.И обязательно проверьте свой компьютер на наличие вредоносного ПО, отличным от родного антивируса, например Dr.Web CureIt! — Лечащая утилита
А вот теперь еще раз меняйте пароли и в идеале смените пароль и от БД сайта. Случаем никого не пускали к работе с сайтом? (фрилансер, приходящий админ, вообще левый паренек с сайта)?да был левый администратор, уже удалил его. Пока больше не появляется.
Я устанавливал только скрипт с сайта pluso.net (социальный замок) В нем были ссылки на сайт pluso.net . Нашел скрипт и удалил. Теперь все отлично, сообщение больше не выскакивает.Плагин майнера сами установили?
Посмотреть вложение 39943
Попробуйте если не сами, отключите плагин от pluso.net, судя по всему через их скрипт майнер ставится
Саппорт хостинга может восстановить пароли от входа в админ панель сайта на Wordpress??Запросил саппорт хостинга восстановить вход в админ панель сайта.
Если это удастся добиться, то буду пробовать определять работу установленных плагинов.
ВОПРОС: необходимо отключать плагины по одному, проверяя наличие проблемы на сайте или
сразу отключить все работающие плагины и , если проблема исчезнет, включать их по одному
до появления проблемы?
Саппорт хостинга может восстановить пароли от входа в админ панель сайта на Wordpress??
Я бы отключил сначала все, после чего смотрел наличие проблемы, дальше включал по одному. Но будьте осторожны может у вас есть жизненно важные плагины которые при отключение могут вызвать проблемы с работой сайта.
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?