Вирусный плагин background-image-cropper (Вордпресс) и файл accesson.php Помогите избавиться
Страницы: 1
Вирусный плагин background-image-cropper (Вордпресс) и файл accesson.php Помогите избавиться, Вирусный плагин background-image-cropper и файл accesson.php Как избавиться?
Приветствую участников форума и прошу помощи. Наверняка кто-то с этим сталкивался и как вы решили проблему? Явно кто-то пытается взломать сайт. Хостинг прислал вот это:
Подозрительная активность
На Вашем сайте сайт.ру была обнаружена подозрительная активность.
Вам требуется принять меры по проверке сайтов на уязвимости и усиления мер безопасности.
Список файлов, которые попали под блокировку:

/home/s/s......../сайт.ру/public_html/wp-content/themes/jarida/404.php

/home/s/s........./сайт.ру/public_html/wp-content/themes/jarida/accesson.php
/home/s/s........./сайт.ру/public_html/wp-content/uploads/2020/04/accesson.php
Распространяет эту заразу плагин background-image-cropper. Причем после удаления снова появляется через какое-то время-обычно на следующий день на сайте сам по себе и снова распространяет эти файлы!!!
Пароли менял везде. Установил плагины безопасности. Но это проблему не решает. Смена шаблона темы тоже.
Может кто уже сталкивался с такой проблемой? 
Как решили?
Где копать? В интернете не нашел ничего путного.

Комплексное SEO продвижение в поисковых системах Яндекс, Google

Вручную чистить базу. Удалить всё, что касается этого плагина.
Пробовал но появляется снова, голову уже сломал. Поэтому возможно надеюсь что появятся те кто с этим сталкивался. Мне вообще интересно почему он есть даже для скачивания в Вордпресс оф. сайта.
Цитата
WGN пишет:
Пробовал но появляется снова, голову уже сломал. Поэтому возможно надеюсь что появятся те кто с этим сталкивался. Мне вообще интересно почему он есть даже для скачивания в Вордпресс оф. сайта.
Тогда попробуйте поставть плагн - Wordfence Security.
Там есть сканер, который покажет все инфицированные файлы. Думаю, что хостер не  видит  большинство из них.
Откройте по ftp сайт и сравните с чистым ВП. Если проблема опять появляется после удаления, значит в wp-content или wp-include есть вредоносный файл. Возможно это будет целый каталог. Просто скачайте последний дистрибютив вордпресса и сравните, что у Вас  и что в архиве. Подозрительные папки сохраняйте сначала на ПК, а потом удаляйте, чтобы ничего лишнего не натворить.
все будет...
Подобная шляпа была с движком Joomla в 2013, тогда была эпидемия своего рода у всех. Устанавливаешь плагин или компонент заразный и он помещал файл-маркер, который заражал все скрипты. Скрипты чистишь от грязи, через час снова та же проблема.
Решалось просто, нужно было найти этот файл и просто удалить его. Как правило, такой маркер лежал в папках, куда редко заглядываешь, даже в папке images находил его. Такие файлы были со странным именем, по типу hgsdfhsd.php.
Я искал его через Total Commander по ключевому слову "Base64".
Но это у Joomla, с Вордпресс вовсе не знаком, но может копнете в эту сторону, вдруг поможет.
Цитата
Сергей Храбров пишет:
Тогда попробуйте поставть плагн - Wordfence Security
Этот я удалил он не помог и установил 2 других. Сделал пока бекап сайта. Но это не решает проблему нужно искать решение!
По ссылке есть рекомендации, что делать в случае взлома сайта: https://ru.foxcloud.net/kb/otvety-na-voprosy-polzovatelej/chto-delat-v-sluchae-vzloma-sajta.php

Кроме этого, можете сменить пароль на хостинг и не сохранять пароль ни в каких программах типа TotalCommander, FileZilla.Возможно, вирус ворует пароль из этих программ и заливает свои файлы к Вам на хостинг.
Еще, как вариант, у злоумышленника есть доступ к вашей почте, куда приходит новый пароль.
Изменено: FoxCloud - 7 Апреля 2020 15:16
Хостинг, Облачные серверы, выделенные серверы и многое другое https://foxcloud.net
А по логам нельзя посмотреть активность файлов по сайту?
Если сами не справитесь, то проще заплатить 500р на кворке. Там есть хорошие дельцы с кучей положительных отзывов
Цитата
fortnoxby пишет:
Если сами не справитесь, то проще заплатить 500р на кворке
Заплатить всегда успеется пока в поисках. Странно неужели такая беда у меня одного была?
WGN, в интернете большинство копипаст, потому и не находится ничего путнего, да и многие вебмастера порадуются, что у конкурента что-то не выходит. Сам когда-то остался один на один с проблемой, даже на форуме гугла типа "золотые гуру" написали - "кто первый, того и тапки".
У Вас просто в каком-то файле прописан код, потому при его подгрузке цмской он прописывается куда можно.
Попробуйте глянуть в файлы, расположенные в корне сайта, например, в wp-blog-header.php и прочих. Иногда в оригинале файла 30 строк кода, а вирусняк добавляет 1000 пустых строк, и только потом идет вирусная вставка. Получается что беглым взглядом ничего не изменилось, а там бяка.
Еще хорошая прога по выявлению вирусов Ai.Bolit. Правда я пользовался онлайн сканнером, который они сейчас отключили, но можно поставить их код.
Бывают и случаи заражения плагина кеширования. И такое у меня было несколько лет назад, тогда я отключал плагины, по новой их загружал с вордпрессовского официала.
Тут в любом случае, не будет волшебной кнопки вылечить, надо уметь разбираться и понимать код, также работать с отчетом на примере того-же сканера Wordfence Security. Помимо всего этого, зараженные файлы могут быть и выше каталогом папки с CMS, и работать по крону. Также если у вас не один сайт в вашем вэб окружение на хостинге, то зараза может идти и с соседних сайтов.
Страницы: 1
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
21:54 АП Яндекс ИКС 27.05.2020 | у вас ИКС изменился? 
20:20 TacoLoco - рекламная сеть от LosPollos. Большие объёмы качественного трафика! 
14:51 Яндекс перестал индексировать новые страницы 
11:24 Накрутка поведенческих факторов весна - лето 2020 для продвижения сайта в ТОП Яндекса и Google 
09:10 Безграничный трафик на ваши предложения 
21:21 Сайт плохо поднимается в позициях 
21:11 Majento - Онлайн сервис мониторинга позиций в Яндекс и Google 
09:47 Софт на заказ 
06:45 Современный скрипт обменника электронных валют 
04:00 Продам аккаунты Adwords 
22:59 Вечные ссылки с ТОПОВЫХ ресурсов! Размещение вечных трастовых ссылок с тИЦ от + 1000 до +45000 
17:29 Продажа Dedicated servers (Дедики) 
16:34 Профессиональное ведение каналов в Ютубе, Белое продвижение, Услуги в соц. сетях 
15:32 PAY2DAY.TOP - Покупка и продажа криптовалюты за рубли. 
09:09 Ваш сайт блокируют гос органы? Есть решение! 
20:45 Послабления карантина 
09:12 ruposters: В проект нового КоАП включили штрафы за отказ от вакцинации 
07:03 Массовая вакцинация россиян от коронавируса 
20:31 [b]Webvork [/b]- международная товарная СРА сеть с сертифицированными офферами на Европу. 
16:31 Buymedia.biz - рекламная сеть 
10:01 "Русский менталитет"