Помощь После взлома появились страницы, найти никак

devil985 · 15 Окт 2015

Здравствуйте, на сайт работающем на wordpress попал вирус, по сути просто фрейм, который был успешно вычищен. Недавно обнаружил что в индексе около 11 тыс страниц, хотя на сайте от силы 200-250.

Сылки вида site.ru/vulkan-stavki.html или site.ru/forum/dlia-muzhib-so-slab-erect.html (таких файлов на хостинге нет.)
Сами спам страницы показываются при переходе из поисковой системы и без авторизации, и представляют собой шифрованный ява скрипт с подгрузкой фрейма с другого сайта (почти всегда разные).

Хвосты найти никак не могу, что это может быть?

Антивирус хостера ниего лишнего не видит, в админке тоже чисто, доступы к admin-ajax.php и тд закрыт через htaccess.

javx · 15 Окт 2015

Может в файле роботс.txt эти адреса указаны (или были указаны). Через инструменты вебмастера в хроме можно увидеть хвосты.

timur_ · 15 Окт 2015

Проверь БД

devil985 · 15 Окт 2015

timur_ написал(а):
Проверь БД

что там искать? прошелся поверхностно вроде ничего нет. и как вообще это может работать?

javx написал(а):
Может в файле роботс.txt эти адреса указаны (или были указаны). Через инструменты вебмастера в хроме можно увидеть хвосты.

в роботс чисто, там только закрыты от индексирования внутренние папки вордпресса

javx · 15 Окт 2015

Возможно страницы ведут на не существующую страницу, т.е. скрипт с фреймом на 404 странице

vytyacom · 15 Окт 2015

первым делом надо проверить wp-config.php на левые скрипты
а лучше просто взять скачать новый вп с вордпресса и на хост его сверху заменить

но если есть нуленные темы и плагины, то посоветовал для начала б их грохнуть

devil985 · 15 Окт 2015

javx написал(а):
Возможно страницы ведут на не существующую страницу, т.е. скрипт с фреймом на 404 странице

тоесть скрипт берет содержание ссылки и в зависимости о нее уже запрашивает тот или иной фрейм?

vytyacom написал(а):
первым делом надо проверить wp-config.php на левые скрипты
а лучше просто взять скачать новый вп с вордпресса и на хост его сверху заменить

но если есть нуленные темы и плагины, то посоветовал для начала б их грохнуть

ок, попробую, нуленных нет - проект чистый, то что было нужно покупали.

denverkurt · 15 Окт 2015

в .htaccess посмотрите, может быть редиректы какие-нибудь ведущие вглубь директорий сайта

topdop · 15 Окт 2015

Для просмотра ссылки Войди или Зарегистрируйся - в помощь

timur_ · 15 Окт 2015

devil985 написал(а):
что там искать? прошелся поверхностно вроде ничего нет. и как вообще это может работать?

поиском чекать "vulkan" и ссылки, описанные в ОП-посте, а вообще захламленным может быть файлик function.php, основные файлы самого wp.
открой страницу и через инструменты разработчика в браузере смотри ресурсы, что и какие файлики используются.

Помощь После взлома появились страницы, найти никак

devil985

Участник

javx

Мой дом здесь!

timur_

Постоялец

devil985

Участник

javx

Мой дом здесь!

vytyacom

Постоялец

devil985

Участник

denverkurt

Denve®

topdop

Создатель

timur_

Постоялец