Помощь Вредоносный код в header.php

vave · 25 Окт 2016

Каждые 2-3 дня появляется вредоносный java script в header.php
Я его удаляю а он снова появляется.
Страница входа изменена.
Пароль русскоязычный и со всякими знаками...
Что делать не знаю...
Вирусов на компе нет.

rob1n · 25 Окт 2016

vave написал(а):
Каждые 2-3 дня появляется вредоносный java script в header.php
Я его удаляю а он снова появляется.
Страница входа изменена.
Пароль русскоязычный и со всякими знаками...
Что делать не знаю...
Вирусов на компе нет.

залогиньтесь через ssh поищите командой ниже файлы с eval

Код:

find /where/to/find/ -type f -iname "*.php" -exec grep -Him1 'eval' {} \;

Скрытое содержимое доступно для зарегистрированных пользователей!

Ur0ck · 25 Окт 2016

Айболитом архив сайта прогоняли?

antonixus · 25 Окт 2016

Ищи шеллы или загрузчики, наверняка где-то лежит. Попробуй запретить запись в header.php - выставить права 0444

Iga · 27 Окт 2016

Поменяйте пароли везде на сгенерированные.
У меня сначала тоже начилось с одного файла неиспользуемого сайта, а через неделю это зло засрало мне все сайты на хостинге.
Ловил айболитом, ДрВебом, чистил вручную, поменял все пароли. Вот уже долгое время тишина и атаки прекратились. После смены пароля месяц ещё были попытки ломануть.

fuxilazo · 4 Ноя 2016

Привет!

Важно сменить пароли не только от админки, но и все остальные - к примеру, от базы данных. Обрати пристальное внимание на это.

Другим шагом я бы сделал следующее - скопировал архив сайта и прогнал его на вирус.тотале на предмет поиска другого вредоносного кода

Можно также установить на сайт плагин Для просмотра ссылки Войди или Зарегистрируйся - богатые настройки с возможностью бана пользователей, создания бекапов и отслеживания посетителей.

Удачи!

unnell · 6 Ноя 2016

самый лучший сопособ это запретить редактирование фаилов через адм, надо добавить

Код:

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

в фаил wp-config.php
Что лежит в главной директории
Если код всеравно поменяли то вы будете точно знать что это вирус на сайте, а не пользователь меняет

fr0sty · 9 Ноя 2016

В дополнение к всему выше написанному я бы предложил, как вариант, поставить плагин Sucuri Security (Для просмотра ссылки Войди или Зарегистрируйся). Он проверяет целостность сайта и уведомляет о попытках взлома. Также я советую отключить XML RPC (Для просмотра ссылки Войди или Зарегистрируйся), т.к. большинство атак идет через него. Ну и конечно усилить авторизацию с помощь секретного слова (Для просмотра ссылки Войди или Зарегистрируйся), чтобы даже если злоумышленник знает ваш логин и пароль, ему нужно было бы еще знать секретное слово.

ps-records · 14 Ноя 2016

попробуйте Anti-Malware Security and Brute-Force Firewall, мне помогло, была та же фигня. Плагин бесплатный

starwanderer · 30 Ноя 2016

Когда-то антивирусных программ не было вообще. Поэтому приходилось действовать на здравом смысле. Зараженные файлы вычисляли с чистой дискетки сравнением. Для меня это один из этапов проверки до сих пор. Поставить локально чистую копию движка той-же версии, плагины и тему, снять копию с сайта и сделать пофайловое сравнение, к примеру, через Far manager.
Сразу понятно какие файлы в ядре добавились, какие изменились. Уже существенно сужается фронт работ. Ну а измененные файлы уже на стол и препарировать другими программами и вручную.
Может ТС отпишется, что было и как он решил проблему ? И считать тему закрытой.

Помощь Вредоносный код в header.php

vave

Полезный

rob1n

Мой дом здесь!

Ur0ck

Писатель

antonixus

Постоялец

Iga

Гуру форума

fuxilazo

Создатель

unnell

Создатель

fr0sty

Постоялец

ps-records

Постоялец

starwanderer

Хранитель порядка