Вирус в WordPress!?

[Alex'S]

Захожу в админку и вижу в редакторе появился какой-то новый файл:
7e30804b68501ac775c35e1db21b502f.php
что это может быть?

Его содержание:

PHP код:

GIF89a
<?php
echo 'files';
?>

Что это значит? (я не разбираюсь в програмирование).
в FTP этого файла не вижу.


Кто сталкивался с таким? Что делать?

[Status-X]

Вас тестируют на возможность заливки шела.
Что делать изучать логи, проверить исполняется ли этот файл с пользовательской стороны, если исполняется искать через что залили

[Freer1der]

курить логи на предмет SQL иньекций и других способов попадания в админку...

[Alex'S]

Status-X,
Freer1der, спасибо что подсказали, а если можно, то пожалуйста, чуть-чуть по-проще, я просто не разбиаюсь. Буквально что-то типа: "... зайти туда перекрыть то, или найти то и удалить ето, или написать в поддержку чтобы отключили что-то, или посмотрели чтото, потом отключили..." (как-то так).

Из того что я понял: Нужно зайти на хостинг посмотреть был ли доступ на мой сайт по FTP с других ip если да то заблокировать их, или оставить только для моего IP. Поможет? Если небыло доступа с FTP значит через троян могли сделать?

А вообще для чего это надо? что хотят с помощью этого сделать?
Этот файл как удалить оттуда, на ftp я его не нашел?
Сильно вредно?

[Freer1der]

Цитата:

спасибо что подсказали, а если можно, то пожалуйста, чуть-чуть по-проще, я просто не разбиаюсь. Буквально что-то типа: "... зайти туда перекрыть то, или найти то и удалить ето, или написать в поддержку чтобы отключили что-то, или посмотрели чтото, потом отключили..." (как-то так).

напишите хостеру чтобы дал логи вашего сайта по определенному периоду, примерно от того времени когда этого не было и когда появилось

Цитата:

Из того что я понял: Нужно зайти на хостинг посмотреть был ли доступ на мой сайт по FTP с других ip если да то заблокировать их, или оставить только для моего IP. Поможет? Если небыло доступа с FTP значит через троян могли сделать?

к фтп скорее всего не подключались...

Цитата:

А вообще для чего это надо? что хотят с помощью этого сделать?
Этот файл как удалить оттуда, на ftp я его не нашел?
Сильно вредно?

хотели залить шелл чтобы получить доступ к файлам вашего сайта

[Alex'S]

Цитата:

Сообщение от Freer1der

напишите хостеру чтобы дал логи вашего сайта по определенному периоду, примерно от того времени когда этого не было и когда появилось

Вот что ответили:

Цитата:

Здравствуйте!

К сожалению, функция логирования операций отключена в старой контрольной
панели "H-SPHERE". У нас также таких данных нет.

Как нибудь можно чтоли залотать дырку?
Или хотябы как найти этот файл и удалить его?

Может хостинг сменить? Но если дело в сайте, то не поможет...
Как быть дальше ?

[.com.by]

как вариант вы скачали вп не с офф сайта который уже содержал бекдор, либо зажали денежку на модуль и взяли нуленый, с заготовочкой уже.

+ я что-то читал в районе 3ех месяцев назад про критическую уязвимость у вп, обновляетесь?

сомневаюсь что дело в хостере.

Зы, если файлик только появился то просите бекапы у хостера.
Перезаливайте, далее обновите ваш скрипт.
Зыы, обратитесь на профильный форум.

[Alex'S]

.com.by, Скачивал официальню версию, на оф. сайте,
модули брал бесплатные тож на оф. сайте. (может кроме 1го, непомню где брал... с переводом на русском нужно было)
Шаблон покупал у Американцев.
Все версии новые стоят... кроме модулей, т.к. там несовместимости есть...

У хостера вообще бесполезно че просить - тупят, ниче не отвечают толком "
... типа скачайте себе файлы с ftp и проверьте антивирусником... и сделайте копию файлов, и баз данных... вас взламывают или взломали... " и все...

Добавлено через 2 минуты

Цитата:

Сообщение от .com.by

Зыы, обратитесь на профильный форум.

Уже думал об этом - в процессе.

Цитата:

Сообщение от .com.by

если файлик только появился

ФАйлика не вижу... его нет на ftp, он почемуто только в админке есть..

Добавлено через 3 минуты
Самое противное что не знаю, че с ним дальше делать, как удалить и взяли ли они че хотели, и для чего это делали? Я понял бы если там баннеры вылетали ... или переадресовывался куданибудь, или еще что.. но внешне сайт нормальный, а в админке вылезло...
сайт еще даже Яндекс не проиндексировал, только Гугл нашел и то посещаемость небольшая с него идет...

[.com.by]

Как я понял сайт новый, в таком случае советую вам все же копать в сторону скриптов/модулей, ибо никому не нужно ломать ваш сайт без посещалки. Скорее всего скриптик сам и стуканул кому надо.

Да, может быть я параноик.

+ если хостер мычит что-то невнятное, нафиг такой хостер, вообще скорее всего ресселер какой нибудь.
Рекомендую поменять на хостинг с адекватным саппортом и гарантией того что он будет завтра работать (прим. peterhost.ru), не гоняйтесь за тем что дешевле.

[Freer1der]

Цитата:

ФАйлика не вижу... его нет на ftp, он почемуто только в админке есть..

попробуйте в БД посмотреть

Цитата:

Самое противное что не знаю, че с ним дальше делать, как удалить и взяли ли они че хотели, и для чего это делали? Я понял бы если там баннеры вылетали ... или переадресовывался куданибудь, или еще что.. но внешне сайт нормальный, а в админке вылезло...
сайт еще даже Яндекс не проиндексировал, только Гугл нашел и то посещаемость небольшая с него идет...

как я понимаю завладели админкой так что для начала нужно посмотреть нет ли у Вас на сайте лишних администраторов и менять пароли на админку и доступ к базе данных, делали для того чтобы получить полный доступ к сайту а тогда уже по их фантазии вешать рекламу, ссылки, скрипты для впаривание троев и тд........