Вирусный плагин background-image-cropper (Вордпресс) и файл accesson.php Помогите избавиться
Страницы: 1
Вирусный плагин background-image-cropper (Вордпресс) и файл accesson.php Помогите избавиться, Вирусный плагин background-image-cropper и файл accesson.php Как избавиться?
Приветствую участников форума и прошу помощи. Наверняка кто-то с этим сталкивался и как вы решили проблему? Явно кто-то пытается взломать сайт. Хостинг прислал вот это:
Подозрительная активность
На Вашем сайте сайт.ру была обнаружена подозрительная активность.
Вам требуется принять меры по проверке сайтов на уязвимости и усиления мер безопасности.
Список файлов, которые попали под блокировку:

/home/s/s......../сайт.ру/public_html/wp-content/themes/jarida/404.php

/home/s/s........./сайт.ру/public_html/wp-content/themes/jarida/accesson.php
/home/s/s........./сайт.ру/public_html/wp-content/uploads/2020/04/accesson.php
Распространяет эту заразу плагин background-image-cropper. Причем после удаления снова появляется через какое-то время-обычно на следующий день на сайте сам по себе и снова распространяет эти файлы!!!
Пароли менял везде. Установил плагины безопасности. Но это проблему не решает. Смена шаблона темы тоже.
Может кто уже сталкивался с такой проблемой? 
Как решили?
Где копать? В интернете не нашел ничего путного.

Комплексное SEO продвижение в поисковых системах Яндекс, Google

Вручную чистить базу. Удалить всё, что касается этого плагина.
Пробовал но появляется снова, голову уже сломал. Поэтому возможно надеюсь что появятся те кто с этим сталкивался. Мне вообще интересно почему он есть даже для скачивания в Вордпресс оф. сайта.
Цитата
WGN пишет:
Пробовал но появляется снова, голову уже сломал. Поэтому возможно надеюсь что появятся те кто с этим сталкивался. Мне вообще интересно почему он есть даже для скачивания в Вордпресс оф. сайта.
Тогда попробуйте поставть плагн - Wordfence Security.
Там есть сканер, который покажет все инфицированные файлы. Думаю, что хостер не  видит  большинство из них.
Откройте по ftp сайт и сравните с чистым ВП. Если проблема опять появляется после удаления, значит в wp-content или wp-include есть вредоносный файл. Возможно это будет целый каталог. Просто скачайте последний дистрибютив вордпресса и сравните, что у Вас  и что в архиве. Подозрительные папки сохраняйте сначала на ПК, а потом удаляйте, чтобы ничего лишнего не натворить.
все будет...
Подобная шляпа была с движком Joomla в 2013, тогда была эпидемия своего рода у всех. Устанавливаешь плагин или компонент заразный и он помещал файл-маркер, который заражал все скрипты. Скрипты чистишь от грязи, через час снова та же проблема.
Решалось просто, нужно было найти этот файл и просто удалить его. Как правило, такой маркер лежал в папках, куда редко заглядываешь, даже в папке images находил его. Такие файлы были со странным именем, по типу hgsdfhsd.php.
Я искал его через Total Commander по ключевому слову "Base64".
Но это у Joomla, с Вордпресс вовсе не знаком, но может копнете в эту сторону, вдруг поможет.
Цитата
Сергей Храбров пишет:
Тогда попробуйте поставть плагн - Wordfence Security
Этот я удалил он не помог и установил 2 других. Сделал пока бекап сайта. Но это не решает проблему нужно искать решение!
По ссылке есть рекомендации, что делать в случае взлома сайта: https://ru.foxcloud.net/kb/otvety-na-voprosy-polzovatelej/chto-delat-v-sluchae-vzloma-sajta.php

Кроме этого, можете сменить пароль на хостинг и не сохранять пароль ни в каких программах типа TotalCommander, FileZilla.Возможно, вирус ворует пароль из этих программ и заливает свои файлы к Вам на хостинг.
Еще, как вариант, у злоумышленника есть доступ к вашей почте, куда приходит новый пароль.
Изменено: FoxCloud - 7 Апреля 2020 15:16
Хостинг, Облачные серверы, выделенные серверы и многое другое https://foxcloud.net
А по логам нельзя посмотреть активность файлов по сайту?
Если сами не справитесь, то проще заплатить 500р на кворке. Там есть хорошие дельцы с кучей положительных отзывов
Цитата
fortnoxby пишет:
Если сами не справитесь, то проще заплатить 500р на кворке
Заплатить всегда успеется пока в поисках. Странно неужели такая беда у меня одного была?
WGN, в интернете большинство копипаст, потому и не находится ничего путнего, да и многие вебмастера порадуются, что у конкурента что-то не выходит. Сам когда-то остался один на один с проблемой, даже на форуме гугла типа "золотые гуру" написали - "кто первый, того и тапки".
У Вас просто в каком-то файле прописан код, потому при его подгрузке цмской он прописывается куда можно.
Попробуйте глянуть в файлы, расположенные в корне сайта, например, в wp-blog-header.php и прочих. Иногда в оригинале файла 30 строк кода, а вирусняк добавляет 1000 пустых строк, и только потом идет вирусная вставка. Получается что беглым взглядом ничего не изменилось, а там бяка.
Еще хорошая прога по выявлению вирусов Ai.Bolit. Правда я пользовался онлайн сканнером, который они сейчас отключили, но можно поставить их код.
Бывают и случаи заражения плагина кеширования. И такое у меня было несколько лет назад, тогда я отключал плагины, по новой их загружал с вордпрессовского официала.
Тут в любом случае, не будет волшебной кнопки вылечить, надо уметь разбираться и понимать код, также работать с отчетом на примере того-же сканера Wordfence Security. Помимо всего этого, зараженные файлы могут быть и выше каталогом папки с CMS, и работать по крону. Также если у вас не один сайт в вашем вэб окружение на хостинге, то зараза может идти и с соседних сайтов.
Страницы: 1
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
04:05 Ссылочное продвижение сайта 2020 
21:43 Поисковая выдача 
21:26 3 июня 2020 Степень изменения выдачи: 6.9% | Как использовали коронавирус (COVID-19) для заработка? 
15:38 Поднимем ваш сайт в ТОП 3 Яндекса по НЧ, СЧ, ВЧ запросам 
14:36 Яндекс выдача 02.06.2020 | Туризм 2020 
13:12 Биржи ссылок и статей 2020 
13:09 Крауд-маркетинг — способ продвижения сайта 2020 
04:13 CMS Base Shop - базы доменов на любоых CMS с ежедневными обновлениями 
23:29 Массовые рассылки по Whatsapp 
20:28 Пишу EN adult тексты, описания к фильмам и статьи на английском 
15:35 Комплексный прогон сайтов, нет каталогов от shtaketo, хороший рост позиций + Тиц 30 - 100 
13:07 Раскрутка вашего сайта белыми методами | Крауд, доски, статьи, соц. сети и пр. 
12:45 Прогон по личной базе, больше 1000 трастовых сайтов! Продвижение СЧ и НЧ запросов + рост показателей! Гарантии! 
12:42 Копирайтер с 9-летним опытом предлагает свои услуги 
02:57 Сайты лохотроны. 
21:36 [b]Webvork [/b]- международная товарная СРА сеть с сертифицированными офферами на Европу. 
17:33 Коронавирус 
13:52 Базы казино РФ, Европа, США. 2018-2020 год 
13:46 База 2гис Май 2020 г. База Яндекс Карты Май 2020 г. 
12:14 Минобороны сообщило об успешном испытании вакцины от COVID-19 на обезьянах и хомяках 
16:43 Массовая вакцинация россиян от коронавируса