• UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепропетровск
  • +38(062) 210-24-93  Донецк
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 449-04-21  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 007-72-35  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

CMS WordPress. Вирус постоянно создает файлы с вредоносным кодом

Форумы CMS WordPress Вирус постоянно создает файлы с вредоносным кодом
nikopol360
11.11.2015 00:48
хостинг: нет
домен: нет
Вирус постоянно создает файлы с вредоносным кодом
Какие либо левые плагины или темы не устанавливались, вирус создает файлы с вредоносным кодом в разных папках сайта. В корне появляется файл dead.letter все удаляю, фтп только для моей ИП только для чтения, авторизация на сайте при помощи цмс... Как побороть вирус или запретить создавать файлы в аккаунте?
ZimbalisT
11.11.2015 08:56
хостинг: есть
домен: есть
Судя по названию , это временный файл создающийся при составлении, создании электронной почты, или письма, которые не отправились. Откройте его текстовым редактором и проверьте содержимое.
nikopol360
11.11.2015 09:24
хостинг: нет
домен: нет
временный файл © Zimbalist

этот файл да, результат спам рассылки видимо.
Инфицированы другие файлы, не принадлежащие цмс сайта, они создаются с рандомными названиями типо hfjkdsfb.htm или hhtka.html
ZimbalisT
11.11.2015 10:18
хостинг: есть
домен: есть
закажите и скачайте резервную копию сайта на момент когда проблемы еще не было Резервное копирование
Потом проверьте логи сайта Где можно посмотреть логи сайта (сервера), логи фтп? с фильтром POST. Часть запросов будет идти к инфицированным файлам,
Обращайте особое внимание на ответы 200 и проверяйте содержимое файлов к которым идет обращение. Найдя подозрительный файл, проверяйте его наличие в резервной копии.
Обязательно поставьте капчу на регистрацию и коментарии на сайте.
ZimbalisT
11.11.2015 10:25
хостинг: есть
домен: есть
из явно подозрительного можно выделить файлы /www/page.php /www/license.php
и в теме в папке hueman/js/ie/ два аналогичных зашифрованых php файла.
nikopol360
11.11.2015 14:57
хостинг: нет
домен: нет
91.233.110.2 POST /wp-login.php/ HTTP/1.0" 200 огромное кл-во запросов к wp-login по 3-4 в секунду. Брут форс? Как поставить капчу на регистрацию, после появления сообщений о вирусе обнаружил несколько новых зарегистрированных пользователей, удалил их и закрыл регистрацию вобще посредством wp. Но сегодня обнаружил еще 2 новых пользователя...
ZimbalisT
11.11.2015 15:24
хостинг: есть
домен: есть
закройте доступ к /wp-login.php для ботов через Хостинг--Мои сайты--защита от ботов.
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Тема закрыта по истечению срока давности.
Горячая линия
(044)
392 74 33
другие города