Вирусный плагин background-image-cropper (Вордпресс) и файл accesson.php Помогите избавиться
Страницы: 1 2 След.
Вирусный плагин background-image-cropper (Вордпресс) и файл accesson.php Помогите избавиться, Вирусный плагин background-image-cropper и файл accesson.php Как избавиться?
Приветствую участников форума и прошу помощи. Наверняка кто-то с этим сталкивался и как вы решили проблему? Явно кто-то пытается взломать сайт. Хостинг прислал вот это:
Подозрительная активность
На Вашем сайте сайт.ру была обнаружена подозрительная активность.
Вам требуется принять меры по проверке сайтов на уязвимости и усиления мер безопасности.
Список файлов, которые попали под блокировку:

/home/s/s......../сайт.ру/public_html/wp-content/themes/jarida/404.php

/home/s/s........./сайт.ру/public_html/wp-content/themes/jarida/accesson.php
/home/s/s........./сайт.ру/public_html/wp-content/uploads/2020/04/accesson.php
Распространяет эту заразу плагин background-image-cropper. Причем после удаления снова появляется через какое-то время-обычно на следующий день на сайте сам по себе и снова распространяет эти файлы!!!
Пароли менял везде. Установил плагины безопасности. Но это проблему не решает. Смена шаблона темы тоже.
Может кто уже сталкивался с такой проблемой? 
Как решили?
Где копать? В интернете не нашел ничего путного.
Вручную чистить базу. Удалить всё, что касается этого плагина.
Пробовал но появляется снова, голову уже сломал. Поэтому возможно надеюсь что появятся те кто с этим сталкивался. Мне вообще интересно почему он есть даже для скачивания в Вордпресс оф. сайта.
Цитата
WGN пишет:
Пробовал но появляется снова, голову уже сломал. Поэтому возможно надеюсь что появятся те кто с этим сталкивался. Мне вообще интересно почему он есть даже для скачивания в Вордпресс оф. сайта.
Тогда попробуйте поставть плагн - Wordfence Security.
Там есть сканер, который покажет все инфицированные файлы. Думаю, что хостер не  видит  большинство из них.
Откройте по ftp сайт и сравните с чистым ВП. Если проблема опять появляется после удаления, значит в wp-content или wp-include есть вредоносный файл. Возможно это будет целый каталог. Просто скачайте последний дистрибютив вордпресса и сравните, что у Вас  и что в архиве. Подозрительные папки сохраняйте сначала на ПК, а потом удаляйте, чтобы ничего лишнего не натворить.
все будет...
Подобная шляпа была с движком Joomla в 2013, тогда была эпидемия своего рода у всех. Устанавливаешь плагин или компонент заразный и он помещал файл-маркер, который заражал все скрипты. Скрипты чистишь от грязи, через час снова та же проблема.
Решалось просто, нужно было найти этот файл и просто удалить его. Как правило, такой маркер лежал в папках, куда редко заглядываешь, даже в папке images находил его. Такие файлы были со странным именем, по типу hgsdfhsd.php.
Я искал его через Total Commander по ключевому слову "Base64".
Но это у Joomla, с Вордпресс вовсе не знаком, но может копнете в эту сторону, вдруг поможет.
Цитата
Сергей Храбров пишет:
Тогда попробуйте поставть плагн - Wordfence Security
Этот я удалил он не помог и установил 2 других. Сделал пока бекап сайта. Но это не решает проблему нужно искать решение!
По ссылке есть рекомендации, что делать в случае взлома сайта: https://ru.foxcloud.net/kb/otvety-na-voprosy-polzovatelej/chto-delat-v-sluchae-vzloma-sajta.php

Кроме этого, можете сменить пароль на хостинг и не сохранять пароль ни в каких программах типа TotalCommander, FileZilla.Возможно, вирус ворует пароль из этих программ и заливает свои файлы к Вам на хостинг.
Еще, как вариант, у злоумышленника есть доступ к вашей почте, куда приходит новый пароль.
Изменено: FoxCloud - 7 Апреля 2020 15:16
Хостинг, Облачные серверы, выделенные серверы и многое другое https://foxcloud.net
А по логам нельзя посмотреть активность файлов по сайту?
Если сами не справитесь, то проще заплатить 500р на кворке. Там есть хорошие дельцы с кучей положительных отзывов
Цитата
fortnoxby пишет:
Если сами не справитесь, то проще заплатить 500р на кворке
Заплатить всегда успеется пока в поисках. Странно неужели такая беда у меня одного была?
WGN, в интернете большинство копипаст, потому и не находится ничего путнего, да и многие вебмастера порадуются, что у конкурента что-то не выходит. Сам когда-то остался один на один с проблемой, даже на форуме гугла типа "золотые гуру" написали - "кто первый, того и тапки".
У Вас просто в каком-то файле прописан код, потому при его подгрузке цмской он прописывается куда можно.
Попробуйте глянуть в файлы, расположенные в корне сайта, например, в wp-blog-header.php и прочих. Иногда в оригинале файла 30 строк кода, а вирусняк добавляет 1000 пустых строк, и только потом идет вирусная вставка. Получается что беглым взглядом ничего не изменилось, а там бяка.
Еще хорошая прога по выявлению вирусов Ai.Bolit. Правда я пользовался онлайн сканнером, который они сейчас отключили, но можно поставить их код.
Бывают и случаи заражения плагина кеширования. И такое у меня было несколько лет назад, тогда я отключал плагины, по новой их загружал с вордпрессовского официала.
Тут в любом случае, не будет волшебной кнопки вылечить, надо уметь разбираться и понимать код, также работать с отчетом на примере того-же сканера Wordfence Security. Помимо всего этого, зараженные файлы могут быть и выше каталогом папки с CMS, и работать по крону. Также если у вас не один сайт в вашем вэб окружение на хостинге, то зараза может идти и с соседних сайтов.
Подниму тему. Долго этот плагин не появлялся и вот опять спустя год или более снова. Напомню плагин вирусный. Может нашел кто решение. Или возможно есть какой-то дополнительный плагин который запрещает установку определенного конкретного плагина т.е. запрет в данном случае этого плаиина? Или в ЧС как-то поместить через плагины защиты?
Изменено: WGN - 29 Сентября 2022 13:19
You must check website code because there is a problem in your Header side
Цитата
WGN пишет:
плагин который запрещает установку определенного конкретного плагина
Ну это что-то совсем маразматическое... А по теме: плагин-то по-любому с открытым исходником, сами поковыряйте, если умеете, либо обратитесь к кодеру, чтобы поковырял и дырку просто убрал, благо там особо мозгов не надо, самый дешёвый кодер-школьник может справиться.
Мы не можем похвастаться мудростью глаз
И умелыми жестами рук,
Нам не нужно все это, чтобы друг друга понять.
Сигареты в руках, чай на столе - так замыкается круг,
И вдруг нам становится страшно что-то менять.
Страницы: 1 2 След.
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
22:17 FriendsPartners партнерская программа по Гемблингу 
21:35 Webvork - международная товарная СРА сеть с сертифицированными офферами на Европу. 
20:55 CPA-сеть MyLead - глобальная монетизация трафика! 
19:06 Стоит ли добавлять сайт в Rambler топ 100? 
19:03 Стоит ли заморачиваться с мейл ру ? 
17:08 Marketcall - международная партнерская сеть с оплатой Pay Per Call и LeadGen 
16:00 Группа в фейсбуке 
01:27 Услуги программирования от команды разработчиков 
20:35 Антидетект браузер GoLogin для мультиаккаунтинга 
12:50 Бесплатно доноры с показателями: ИКС 11 200, посещаемость 590 000 
10:51 Ручное размещение вечных статей и ссылок на хороших площадках. Опыт 15 лет! 
10:50 Ural-obmen.ru — выгодный сервис обмена 
10:23 Obama.ru - безопасный обмен криптовалют и электронных денежных средств 
09:19 BestChange – обменивать электронную валюту можно быстро и выгодно 
21:33 Глава Счетной палаты Кудрин покидает ведомство и переходит в Яндекс 
19:48 150+ хакерских поисковых систем и инструментов 
16:31 Россия может запустить «национальную криптобиржу» 
08:23 Подтягиваем физкультурку 
17:20 Партнерская программа OWNR WALLET 
13:30 Илон Маск пообещал выпустить собственный смартфон, если Apple и Google удалят Twitter из магазинов приложений 
12:49 "Черная пятница": когда и где искать максимальные скидки