Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

[menserj]

1. Как/чем определили детект?

при открытии файла iytutiu.php(появляются файлы на хостинге в разных папках с абракадаброй в имени файла) срабытывает nod32 и находит PHP/Agent.NFT.

2. Насколько я понимаю заражение проявляется загрузкой нового файла на FTP, верно?

ftp я отключил уже давно. Не знаю откуда вирус опять берётся.

3. Скрипт обновлен до актуальной версии?

Какой скрипт?

4. Какие плагины используются?

Akismet Anti-Spam
Contact Form 7
Customize Meta Widget
Easy Plugin for AdSense
RusToLat
WP Page Numbers
WP Sitemap Page
Yet Another Related Posts Plugin
Yoast SEO

5. Как проявляет себя заражение?

В разных папках появляются файлы с телом вируса PHP/Agent.NFT (файлы вида eyuyryer.php), также в файлах wordpress например wp-settings.php, index.php и других появляется или include (после include следует кодированный путь к файлу с расширением .ico в котором обычно ещё один вирус вида криптик).
И также в некоторых файлах в первой строке после <?php появляется длинный код, кодированный.

1. Необходимо проверить файлы на ftp, для этого используем скрипт для сайтов, не перепутайте AI-Bolit - антивирус для сайта, сканер вирусов на хостинге и сайте или сравнить с эталонными (заведомо чистый бекап или файлы скрипта)

Уже один раз выкачивал себе на комп файлы с хостинга, проверял айболитом, поудалял все вирусные файлы и include из зараженных файлов.
Но у меня нет заведомо чистого бекапа. А что такое файлы скрипта?

2. Сменить все пароли связанные с сайтом (администратора, FTP, SSH и т.д.)

Пароли все сменил, ftp вообще выключил.
Wordpess обновил до последней версии и плагины тоже. Нужно ли обновлять стандартные темы в вордпрессе?

 

[akok]

Какой скрипт?

Подразумевается движок сайта (в нашем случае вордпресс).
Что за хостер у вас? Нужно к нему обратиться с просьбой проверить логи и определить вектор атаки (кто и когда заливает shell). Пользователей WP проверяли, случаем не появился ли там новый администратор.

И обязательно проверьте свой компьютер на наличие вредоносного ПО, отличным от родного антивируса, например Dr.Web CureIt! — Лечащая утилита
Для ознакомления 17 способов защиты сайта на WordPress. Настройка безопасности WordPress - HOSTiQ

 

[menserj]

Подразумевается движок сайта (в нашем случае вордпресс).

Понятно. Да вордпресс обновлял.

Что за хостер у вас? Нужно к нему обратиться с просьбой проверить логи и определить вектор атаки (кто и когда заливает shell).

хостер джино. да попробую обратиться.

Пользователей WP проверяли, случаем не появился ли там новый администратор.

да был левый администратор, уже удалил его. Пока больше не появляется.

И обязательно проверьте свой компьютер на наличие вредоносного ПО, отличным от родного антивируса, например Dr.Web CureIt! — Лечащая утилита

да свой комп уже проверял cure it. Была какая то запись в hosts, а так всё нормально.

 

[akok]

да был левый администратор, уже удалил его. Пока больше не появляется.

А вот теперь еще раз меняйте пароли и в идеале смените пароль и от БД сайта. Случаем никого не пускали к работе с сайтом? (фрилансер, приходящий админ, вообще левый паренек с сайта)?

 

[marni]

Здравствуйте.
Хотела найти учебное заведение ,нашла сайт нашего ПТУ хотела посмотреть чему там учат детей. хттп://yandex.ru/clck/jsredir?bu=uniq1511095968029295645&from=yandex.ru%3Bsearch%2F%3Bweb%3B%3B&text=&etext=1610.bg9PZRH-sYKWvpbeI5gct1XrWP5GGwF25I-KpXmSm7nZElp8CwtoBa5JxYwm-jESYn29HMhgi6XRM1eQEW0VmnpcLXnAx0lnuKNBgO634tY.3e983893205dffadfd052e083d2b96d8357d3542&uuid=&state=WkI1WI4IbJHybCQJFouMIRyO-MjY1ZFm9FbLhN6cLtk4qmqxZleu_wCyHDMKm4s97Z2M_zsQbFjtD6Pp0wicHXTrVgnRQh-5GZtzY05Udpz41AbxHiECd2SbGyd_gE1O&&cst=AiuY0DBWFJ5fN_r-AEszkyQY1zUZa7gruHSk3ZaDIDMRiFebQjqSARBIHXDrCUVCBa8g4EKdQXQCSgOZxpAkobwIdZVFm5WyqfSffqwny3bEXOkzLiRTEAQhFtBRb0DGu2BwKQV3j5-QAYWNuuGAm1PV4OsBGocNgGNDYEBoWcOTbf8AhJ1orRJv53zxmYqgbZ4ihZ_83gM75G7O9xbUZGjQuyuCFkZwt_roVS-B-HA9j0woBzZBLwGI_ewCfm0hOFlpV0THoG6cbQUIyM7Ev2sM8IRM5qDuanXuzChLGRI8sVHZalOi9FGf80saokq1JuYRpqZLV07sZ-T0rMrjA3oK2NZG94jupM-e996_Xb53x8scCgiaWl2UcQfR_Ut7jHGLsUm8XnYCBIqeLhDxqTpUt4xI0jyZrnwLMtlkPI_-Iv_Rmsk1BFowUIN3RfDUAoJxZST-AdJybsI69Q67wVsR7B3jEnYRmr2QDeTqkJL2Q7KyVi5ZYh7RWWVlc2mCXd5tY8LRi3ua4CoBDcXO1jGxgN3akG9SxRsI7DXKq9UADe_2z-kA-oX7ItuyeYCqF1h8M414o_i4uF1ULbGTLT9KgfkEfo0f2jWLbvM6xt_124tC2ebvnjV6JbZgcB5AR7h6UI62RnvhyIkLp8BCEJB0ctK-Aj8AurB9kTxz287pUKmFzT9lfg,,&data=UlNrNmk5WktYejR0eWJFYk1LdmtxblA3R2xYakgtOF9QQ3hGZWc2b2dhTHBVSUFqR2tnMTFVaXhHb05wcjFZTWtuTkhFX3NUNG16R1JmTDBDb2ZtbTFjTlF2OXBhVUg5WVYwQWNqS1YxTWss&sign=3e152bc9e7616f03aa249c4d67ad6f0b&keyno=0&b64e=2&ref=orjY4mGPRjk5boDnW0uvlrrd71vZw9kps-uGm764JY99YEio8za52SFpMife1odmWC7XZ0OA9boBjejfsXHUH4SBJM1jqwwZWGQMQtKpCasAJPOHUT8_nAyZhDl5Ti3omrmD7e_caOQP4RpN_Ass4IGjITQ1Sjyjm-2noQ49g9IWbb2Y3IynAOlNbnsSUuGAJiKNcD8uIqs8VNPrW6GmB2qqI-F6mBFTJfus87oYV35mFoSzJice78vRAfZpBWDCbgMlnUjvndZbg7lQnvNWYAyQ9zReC2j-&l10n=ru&cts=1511098440550&mc=4.596439344671016

Вот так копируется ссылка.

• на картинке видно как сайт называется
  
  
  
  В поисковике яндекс он высвечивается справа как главная реклама.
  
  Когда заходишь на сайт выскакивают всякие рекламы типа вулкан казино ,а потом перекидывает на другие всякие сайты.
  То есть родители которые зайдут посмотреть этот сайт они ничего не смогут прочитать.
  Насколько опасно это

 

[shestale]

marni, ни какой проблемы не видно. Сайт чистый. Проблема скорее всего на вашем компьютере. По крайней мере я проблем не увидел.

 

[akok]

Единственное, что могу добавить, так это огромное количество рекламы которая установлена на сайте.

 

[marni]

Спасибо.

 

[Федя]

Проверьте пожалуйста мой сайт хттпс://motovilovdmitry.ru/ Совсем недавно касперский начал ругатся на сайт
"Заблокирован опасный веб-адрес хттпс://cdnlibrary.bid/api/v2/?type=stat&data=plusonet%3B3.8&465345945360"
Не пойму откуда мог взяться вирус.
На компьютере стоит антивирус касперского. Проверили мой компьютер на сайте хттп://forum.kasperskyclub.ru - вирусов не нашли.

 

[akok]

Плагин майнера сами установили?

Попробуйте если не сами, отключите плагин от pluso.net, судя по всему через их скрипт майнер ставится

 

[akok]

+++ нужно еще проверить при помощи Wordfence Security – Firewall & Malware Scan

 

[Федя]

Плагин майнера сами установили?
Посмотреть вложение 39943

Попробуйте если не сами, отключите плагин от pluso.net, судя по всему через их скрипт майнер ставится

Я устанавливал только скрипт с сайта pluso.net (социальный замок) В нем были ссылки на сайт pluso.net . Нашел скрипт и удалил. Теперь все отлично, сообщение больше не выскакивает.
Спасибо.
С "Wordfence Security – Firewall & Malware Scan" я что-то не могу разобраться. Там все на английском. Гугл переводчик коряво переводит. Установил, но сканированию что-то мешает. Попробую еще завтра поразбираться

 

[raveal-2]

При открытии своего сайта в браузерах появляется непонятный объемный код
(см. картинку, на которой изображена часть этого кода).
Подозреваю, что это какой-то вирус...
Как его убрать?

 

[akok]

1. Хоститесь на своем сервере или обычный хостинг?
2. Проблема в самом Wordpress, вернее в его дополнениях и решать эту проблему должен администратор. Начните с отключения всех дополнений. Проверки наличия необходимых файлов для работы скрипта

 

[raveal-2]

Хостинг обычный - джино
Для меня это: "Начните с отключения всех дополнений. Проверки наличия необходимых файлов для работы скрипта " - темный лес.
А можно как-то подоходчивее? Что мне нужно сделать?

Хостинг обычный - джино
Для меня это: "Начните с отключения всех дополнений. Проверки наличия необходимых файлов для работы скрипта " - темный лес.
А можно как-то подоходчивее?
Что мне нужно сделать?
Как отключать дополнения?
Как проверить наличие необходимых файлов для работы скрипта?
Кстати, зайти в админку сайта я не могу
Заранее спасибо за ответ

 

[regist]

>Для меня это: "Начните с отключения всех дополнений. Проверки наличия необходимых файлов для работы скрипта " - темный лес.
> А можно как-то подоходчивее? Что мне нужно сделать?
Заходите в админку сайта, Плагины - Установленные - и отключаете все все включённые плагины. После этого проверяете проблему.

 

[raveal-2]

Запросил саппорт хостинга восстановить вход в админ панель сайта.
Если это удастся добиться, то буду пробовать определять работу установленных плагинов.
ВОПРОС: необходимо отключать плагины по одному, проверяя наличие проблемы на сайте или
сразу отключить все работающие плагины и , если проблема исчезнет, включать их по одному
до появления проблемы?

 

[Lunik]

Запросил саппорт хостинга восстановить вход в админ панель сайта.
Если это удастся добиться, то буду пробовать определять работу установленных плагинов.
ВОПРОС: необходимо отключать плагины по одному, проверяя наличие проблемы на сайте или
сразу отключить все работающие плагины и , если проблема исчезнет, включать их по одному
до появления проблемы?

Саппорт хостинга может восстановить пароли от входа в админ панель сайта на Wordpress??

Я бы отключил сначала все, после чего смотрел наличие проблемы, дальше включал по одному. Но будьте осторожны может у вас есть жизненно важные плагины которые при отключение могут вызвать проблемы с работой сайта.

 

[akok]

WordPress. Как отключить плагин(ы) в базе данных или удалением вручную - Центр Поддержки TemplateMonster

Если совсем не разбираетесь, наймите администратора для устранения проблем.

 

[raveal-2]

Саппорт хостинга может восстановить пароли от входа в админ панель сайта на Wordpress??

Я бы отключил сначала все, после чего смотрел наличие проблемы, дальше включал по одному. Но будьте осторожны может у вас есть жизненно важные плагины которые при отключение могут вызвать проблемы с работой сайта.

К сожалению САППОРТ не может мне предоставить доступ к админ панели, мотивируя тем, что он заражен вирусом.
Я, в свою очередь, не могу добраться до установленных на сайте хттп://dohodnoemecto.ru плагинов, чтобы отключить их и проверить на вирусы

Резервную копию базы данных WP я создал
Что получил см. в приложении.
Что это означает я не знаю...