Вирус обращается к какомуто php файлу в wordpress. Не возможно определить к какому именно. Сервер показывает в логах только работу всего php. Можно както через xdebug, только как ? Там есть трассировка и профелирование. Надо чтобы в логах было виндо к какому файлу было обращение из вне , как он выполнялся и что делал.
В чём это выражается? Какие-то параметры передаются? Или файлы загружаются? Если это известно, то напишите свой сценарий и вставьте его во все файлы php, воспользовавшись, например "auto-prepend-file" в php.ini
Вирус заходит ночью и создает в корне Wordpress какието папки и для всех остальных папок ставит htaccess свой. Их около 5000 создается. Вообщем ведет себя не культурно. Структура папок: logs - access.log - errors.log folder - www --- site_name1 - здесь wordpress и вирус буянит. Другие site_name и выше не залазит. Значит это через PHP. --- site_name2 --- site_name3 Если переименовать папки wordpress , то вирус не заходит. Т.е. он прямо по ссылке обращается к какомуто плагину и заходит через его дырку. 1) Загружает тело вируса и запускает 2) Делает гадости 3) Удаляет тело вируса Какимто раком он стираетт access.log, который находится намного выше и не должен иметь доступ из папки site_name1. При первом взломе он както прописался в Cron, через пользователя, а не через root. С тех пор мы поменяли все пароли, cron не меняет. Но залазит каждую ночь и портит site_name1 Сейчас перебором я отключаю на ночь папки плагинов, чтобы найти плагин с дыркой. Но это плохо и долго т.к. сайт не работает на ночь. И вирус может и не заходить каждую ночь.
Еще както запускает вечный php процесс, которые заменяет htaccess и index.php. Т.е. если я их удалю, то они сразу создаются. Как возможно создать вечный php процесс ? стоит лимит на время выполнения 50 секунд. ( они нужны для работы сайта )