Вирусный плагин background-image-cropper (Вордпресс) и файл accesson.php Помогите избавиться
Страницы: 1
Вирусный плагин background-image-cropper (Вордпресс) и файл accesson.php Помогите избавиться, Вирусный плагин background-image-cropper и файл accesson.php Как избавиться?
Приветствую участников форума и прошу помощи. Наверняка кто-то с этим сталкивался и как вы решили проблему? Явно кто-то пытается взломать сайт. Хостинг прислал вот это:
Подозрительная активность
На Вашем сайте сайт.ру была обнаружена подозрительная активность.
Вам требуется принять меры по проверке сайтов на уязвимости и усиления мер безопасности.
Список файлов, которые попали под блокировку:

/home/s/s......../сайт.ру/public_html/wp-content/themes/jarida/404.php

/home/s/s........./сайт.ру/public_html/wp-content/themes/jarida/accesson.php
/home/s/s........./сайт.ру/public_html/wp-content/uploads/2020/04/accesson.php
Распространяет эту заразу плагин background-image-cropper. Причем после удаления снова появляется через какое-то время-обычно на следующий день на сайте сам по себе и снова распространяет эти файлы!!!
Пароли менял везде. Установил плагины безопасности. Но это проблему не решает. Смена шаблона темы тоже.
Может кто уже сталкивался с такой проблемой? 
Как решили?
Где копать? В интернете не нашел ничего путного.

Бесплатная контекстная реклама

Вручную чистить базу. Удалить всё, что касается этого плагина.
Пробовал но появляется снова, голову уже сломал. Поэтому возможно надеюсь что появятся те кто с этим сталкивался. Мне вообще интересно почему он есть даже для скачивания в Вордпресс оф. сайта.
Цитата
WGN пишет:
Пробовал но появляется снова, голову уже сломал. Поэтому возможно надеюсь что появятся те кто с этим сталкивался. Мне вообще интересно почему он есть даже для скачивания в Вордпресс оф. сайта.
Тогда попробуйте поставть плагн - Wordfence Security.
Там есть сканер, который покажет все инфицированные файлы. Думаю, что хостер не  видит  большинство из них.
Откройте по ftp сайт и сравните с чистым ВП. Если проблема опять появляется после удаления, значит в wp-content или wp-include есть вредоносный файл. Возможно это будет целый каталог. Просто скачайте последний дистрибютив вордпресса и сравните, что у Вас  и что в архиве. Подозрительные папки сохраняйте сначала на ПК, а потом удаляйте, чтобы ничего лишнего не натворить.
все будет...
Подобная шляпа была с движком Joomla в 2013, тогда была эпидемия своего рода у всех. Устанавливаешь плагин или компонент заразный и он помещал файл-маркер, который заражал все скрипты. Скрипты чистишь от грязи, через час снова та же проблема.
Решалось просто, нужно было найти этот файл и просто удалить его. Как правило, такой маркер лежал в папках, куда редко заглядываешь, даже в папке images находил его. Такие файлы были со странным именем, по типу hgsdfhsd.php.
Я искал его через Total Commander по ключевому слову "Base64".
Но это у Joomla, с Вордпресс вовсе не знаком, но может копнете в эту сторону, вдруг поможет.
Цитата
Сергей Храбров пишет:
Тогда попробуйте поставть плагн - Wordfence Security
Этот я удалил он не помог и установил 2 других. Сделал пока бекап сайта. Но это не решает проблему нужно искать решение!
По ссылке есть рекомендации, что делать в случае взлома сайта: https://ru.foxcloud.net/kb/otvety-na-voprosy-polzovatelej/chto-delat-v-sluchae-vzloma-sajta.php

Кроме этого, можете сменить пароль на хостинг и не сохранять пароль ни в каких программах типа TotalCommander, FileZilla.Возможно, вирус ворует пароль из этих программ и заливает свои файлы к Вам на хостинг.
Еще, как вариант, у злоумышленника есть доступ к вашей почте, куда приходит новый пароль.
Изменено: FoxCloud - 7 Апреля 2020 15:16
Хостинг, Облачные серверы, выделенные серверы и многое другое https://foxcloud.net
А по логам нельзя посмотреть активность файлов по сайту?
Если сами не справитесь, то проще заплатить 500р на кворке. Там есть хорошие дельцы с кучей положительных отзывов
Цитата
fortnoxby пишет:
Если сами не справитесь, то проще заплатить 500р на кворке
Заплатить всегда успеется пока в поисках. Странно неужели такая беда у меня одного была?
WGN, в интернете большинство копипаст, потому и не находится ничего путнего, да и многие вебмастера порадуются, что у конкурента что-то не выходит. Сам когда-то остался один на один с проблемой, даже на форуме гугла типа "золотые гуру" написали - "кто первый, того и тапки".
У Вас просто в каком-то файле прописан код, потому при его подгрузке цмской он прописывается куда можно.
Попробуйте глянуть в файлы, расположенные в корне сайта, например, в wp-blog-header.php и прочих. Иногда в оригинале файла 30 строк кода, а вирусняк добавляет 1000 пустых строк, и только потом идет вирусная вставка. Получается что беглым взглядом ничего не изменилось, а там бяка.
Еще хорошая прога по выявлению вирусов Ai.Bolit. Правда я пользовался онлайн сканнером, который они сейчас отключили, но можно поставить их код.
Бывают и случаи заражения плагина кеширования. И такое у меня было несколько лет назад, тогда я отключал плагины, по новой их загружал с вордпрессовского официала.
Тут в любом случае, не будет волшебной кнопки вылечить, надо уметь разбираться и понимать код, также работать с отчетом на примере того-же сканера Wordfence Security. Помимо всего этого, зараженные файлы могут быть и выше каталогом папки с CMS, и работать по крону. Также если у вас не один сайт в вашем вэб окружение на хостинге, то зараза может идти и с соседних сайтов.
Страницы: 1
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
13:01 27 ноября 2020 Яндекс выдача 
12:59 РСЯ ужесточает приём сайтов? 
10:07 Какие параметры сайта требуются для роста ИКС? 
10:03 Посмотрите свежим взглядом 
04:33 Что продвигать в ТОП Яндекса с помощью накрутки ПФ? 
00:51 ClickDealer- свои люди на рынке буржа! 
00:45 Заметил новую фишку с ИКС Яндекса! 
12:16 Комплексный прогон по трастовым сайтам, статейное размещение. Рост НЧ-СЧ, Тиц-пр. 
22:39 Продвину сайт качественными ссылками. Рост посещаемости, позиций и ИКС. Крауд ссылки недорого + скидки. 
18:43 Bitpapa.com - криптовалютный P2P-маркетплейс для безопасных сделок 
18:37 Chatex - P2P площадка для торговли криптовалютой 
17:26 Продвижение YouTube. Услуги по ВК, Твитер, ИНСТ, ФБ, ТикТок, ОД 
16:32 Трафик по ключевым словам из поисковиков 
16:04 Продвижение сайтов: прогоны (крауд ссылки, цитирование и брендинг). Опыт с 2009 года и много отзывов о работе. 
00:22 Чёрная пятница – скидка 50% на всё 
00:18 О! И до меня добрался РосКомНадзор 
18:42 После $18000 падение на $2600 за несколько часов 
17:27 Leadgid — международная финансовая партнерская CPA сеть 
16:13 [b]Webvork [/b]- международная товарная СРА сеть с сертифицированными офферами на Европу. 
01:18 ONFLX | Закрытый онлайн кинотеатр 
20:03 WEBARCHIVE DOWNLOADER