wordpress вирус

wordpress вирус в каждой папке появляется index.php и htaccess

Случилось неприятное событие, мой wordpress поймал вирус. Ничего на сайте не работает, хостинг заваливает письмами о превышении используемых ресурсов. Мини история о моей борьбе с вирусом.

На сайте на wordpress вирус

Узнал я об этом из почты, рассылка от хостера, причем узнал что у меня уже несколько сотен вирусов уже на сайте и их нужно побороть. Тратить на это время и заморачиваться не хотелось, купил у хостера услугу за 300р в месяц «Удаление вирусов», нажал искать, а когда вирусы были найдены нажал удалить. Профит! Скорее всего, если бы на этом все закончилось, никакая заметка на эту тему не появилась бы. Проходят сутки и что я вижу, снова уведомление от хостинга о сотне вирусов на сайте.

Зашел на сайт, что бы установить антивирус или что-то такое, но оказалось, что при попытки выполнить любое действие я получаю ошибку 403, доступ запрещен.

Я спокоен и сосредоточен, лезу на хостинг, вижу всякие непонятные лишние файлы, удаляю их и о чудо, через секунду они снова на месте. Что именно происходило? Веб-сайт WordPress автоматически создает файлы .htaccess и index.php во всех папках содержащих вот такой код:

<FilesMatch ".(PhP|php5|suspected|phtml|py|exe|php)$">
 Order allow,deny
 Deny from all
</FilesMatch>
<FilesMatch "^(postfs.php|votes.php|index.php|wjsindex.php|lock666.php|font-editor.php|ms-functions.php|contents.php|jsdindex.php|wp-login.php|load.php)$">
 Order allow,deny
 Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule>

<?php АБРАКАДАБРА похожая на строку base64 ?>
<?php
define( 'WP_USE_THEMES', true );
require __DIR__ . '/wp-blog-header.php';?>

К сожалению я с таким уже сталкивался и думал, что снова со мной такого не может случится. Это из плохого. Из хорошего у меня уже был отработанный путь решения этой проблемы.

Борьба с вирусом с помощью плагина Wordfence

Это просто вредоносная программа, которая создает файлы .htaccess.
Что я сделал для решения моей проблемы, так это:

  1. Установил плагин Wordfence. Напомню, при попытке в админке выполнить любое действие я получал ошибку 403. Что бы обойти эту проблему, я удалил из корня зараженные .htaccess и index.php, в этот момент нажимал в админке кнопку. Повторял это до тех пор, пока не установил плагин.
  2. Сканирование веб-сайта. Зайдя в плагин, поставил настройки на максимальную чувствительность и запустил сканер.
  3. Плагин нашел 271 вирус и автоматически сам смог удалить или вылечить 248 штук.
  4. Осталось всего 23 проблемы, но на этом этапе все равно работать в админке и совершать какие-то действия не получается. Изучив логи я увидел проблемные файлы, заметил что почти все лежат в папке wp-admin или wp-includes. Скачал wordpress той же что и у меня, заменил файлы на стандартные.
  5. Провел повторный скан, убедился что вирусов больше нет.
  6. Убедился что вордпресс у меня последней версии и все плагины максимально новые.
  7. Поменял все пароли.

Отличное решение, позволяет вам справится с простыми случаями заражения сайта. Пользуйтесь и соблюдайте кибербезопасность.

Больше про безопасность читайте — тут


Опубликовано

в

, ,

от

Комментарии

Добавить комментарий