Хостер прислал сообщение, что на сайте обнаружен вирус

@Dimonxaxaxa · Регистрация: 28.05.2013

Author24 — интернет-сервис помощи студентам

всем здаров. хостер прислал вот такое письмо что на сайте wordpress обнаружен вирус
-----------
Дополнительные сведения:

{HEX}php.cmdshell.FilesMan.235 : u*****4 : /var/www/vhosts/u*****4hosting.ru/httpdocs/сайт.ru/wp-includes/pomo/pomo.php

php 16277 u*****4 7u IPv4 3475684414 0t0 TCP 37.14*.19*.4*:38***->78.46.197.122:http (ESTABLISHED)

заблокирован следующий функционал:
iptables:
-A userctl -m owner --uid-owner u*****4 -j DROP

php:
disable_functions=,exec,passthru,shell_exec,system,proc_open,popen
------------

Подскажите алгоритм действий для удаления вируса

@Black_Chaos · 05.04.2014, 20:48

Сообщение от Dimonxaxaxa

сайт.ru/wp-includes/pomo/pomo.php

открой файл и посмотри что там написанно. если уверен что это не нужно то смело затирай строки =) все зависет от того кто это писал? проверь что в этом файле конкретно а вообще странно если ты качал движок с оф. сайта то там вирусов не было и такого файла тоже не помню если честно.
Движка то бесплатная

@Dimonxaxaxa · 05.04.2014, 20:59 **[ТС]**

сайту полтора года, там уже много чего и с офф и не оф и вообще хз откуда. все сносил сайт по прежнему тупит, оч медленно работает

SergWP · 05.04.2014, 22:11

Сообщение от Dimonxaxaxa

Подскажите алгоритм действий для удаления вируса

Чтобы быть уверенным что там вирь (а не параноя хостера) - сравни свой файл с оригинальным из оф. дистра

@Black_Chaos · 06.04.2014, 11:28

вот я не удержался и скачал сам =) в данном каталоге всего 5 файлов
translations.php
streams.php
po.php
mo.php
entry.php

версию скачал 3.8.1
файла pomo.php там не увидел... у вас какая версия движка?

Добавлено через 53 секунды
в целом когда откуда то что то качаете не плохо было бы проверять код и желательно не целиком делать инъекции к себе а частично! тогда спокойнее спать будете

Добавлено через 52 секунды
еще как вариант выложите нам этот файлик pomo.php и мы его тут посмотрим

@Dimonxaxaxa · 06.04.2014, 12:20 **[ТС]**

скачал оригинал 3.5.1 у меня, там файла pomo.php, тоже нет. тупо удалил это файл, а в нем было оооооочень большое множество цифр и букв типа такого--

wYCVY/PVCITjjA1TyItj+WATM3W17kql3EZ+8mgpIG0T78llLKS5sTUaPY3mHOPOXCcg5Q5+SW0AxGBO/4gZoJnqDPgjxKOKhWvbbGZSgUvDsYGTIcxKWWD8oakI5kNUM0CHgx5UwroEzhTVZWxFlmtcEesciRjh4 nMyAIks7RyRDEpQV8CLn8a+O5YCuTRzkjFgZAqOdYuJBrIaALgdYI2bpxBSa3T6onRapjpli3Toz8fjs pw

-----
пытался всякими дешифровальщиками его открыть , ничего не открывает.
и еще из оригинала wp файлы установил, и functions.php почистил, сайт стал нормально работать.
еще проверял сайт айболитом, нашел 2 shell скрипта, их тоже удалил.

@Black_Chaos · 08.04.2014, 20:51

А почему бы просто не снять шкурку с сайта и не попробовать у себя на машине установить новую версию движка? И полностью его скомпоновать как надо? А потом перенести на хост?
Но это вполне нормальный код =) просто это типа ссылки =) скажем как пробел преобразовывается при передачи гетом в %20 (если не путаю). Так и тут если не сложно скиньте полностью фалик pomo и я попробую вам его разобрать ради интереса, что там делаемся =). Ну это если вам интересно

Добавлено через 1 минуту
Если нужна какая либо помощь то пишите в личку и помогу перейти на новый движок. если возникнут трудности

@Evgeniy71rus · 03.04.2015, 19:46

Такая же хрень сегодня была обнаружина
WordPress 3.6
pomo.rar

@Dimonxaxaxa 2 / 2 / 0 Регистрация: 28.05.2013 Сообщений: 34
		1
	Хостер прислал сообщение, что на сайте обнаружен вирус 05.04.2014, 20:04. Показов 3345. Ответов 7 Метки нет (Все метки) всем здаров. хостер прислал вот такое письмо что на сайте wordpress обнаружен вирус ----------- Дополнительные сведения: {HEX}php.cmdshell.FilesMan.235 : u***4 : /var/www/vhosts/u*4hosting.ru/httpdocs/сайт.ru/wp-includes/pomo/pomo.php php 16277 u**4 7u IPv4 3475684414 0t0 TCP 37.14.19.4:38*->78.46.197.122:http (ESTABLISHED) заблокирован следующий функционал: iptables: -A userctl -m owner --uid-owner u***4 -j DROP php: disable_functions=,exec,passthru,shell_exec,system,proc_open,popen ------------ Подскажите алгоритм действий для удаления вируса 0

@Black_Chaos 7 / 7 / 1 Регистрация: 18.07.2013 Сообщений: 42
	05.04.2014, 20:48	2
	Сообщение от Dimonxaxaxa сайт.ru/wp-includes/pomo/pomo.php открой файл и посмотри что там написанно. если уверен что это не нужно то смело затирай строки =) все зависет от того кто это писал? проверь что в этом файле конкретно а вообще странно если ты качал движок с оф. сайта то там вирусов не было и такого файла тоже не помню если честно. Движка то бесплатная 1

@Dimonxaxaxa 2 / 2 / 0 Регистрация: 28.05.2013 Сообщений: 34
	05.04.2014, 20:59 [ТС]	3
	сайту полтора года, там уже много чего и с офф и не оф и вообще хз откуда. все сносил сайт по прежнему тупит, оч медленно работает 0

SergWP 334 / 334 / 57 Регистрация: 24.08.2013 Сообщений: 1,472
	05.04.2014, 22:11	4
	Сообщение от Dimonxaxaxa Подскажите алгоритм действий для удаления вируса Чтобы быть уверенным что там вирь (а не параноя хостера) - сравни свой файл с оригинальным из оф. дистра 1

@Black_Chaos 7 / 7 / 1 Регистрация: 18.07.2013 Сообщений: 42
	06.04.2014, 11:28	5
	вот я не удержался и скачал сам =) в данном каталоге всего 5 файлов translations.php streams.php po.php mo.php entry.php версию скачал 3.8.1 файла pomo.php там не увидел... у вас какая версия движка? Добавлено через 53 секунды в целом когда откуда то что то качаете не плохо было бы проверять код и желательно не целиком делать инъекции к себе а частично! тогда спокойнее спать будете Добавлено через 52 секунды еще как вариант выложите нам этот файлик pomo.php и мы его тут посмотрим 0

@Dimonxaxaxa 2 / 2 / 0 Регистрация: 28.05.2013 Сообщений: 34
	06.04.2014, 12:20 [ТС]	6
	скачал оригинал 3.5.1 у меня, там файла pomo.php, тоже нет. тупо удалил это файл, а в нем было оооооочень большое множество цифр и букв типа такого-- wYCVY/PVCITjjA1TyItj+WATM3W17kql3EZ+8mgpIG0T78llLKS5sTUaPY3mHOPOXCcg5Q5+SW0AxGBO/4gZoJnqDPgjxKOKhWvbbGZSgUvDsYGTIcxKWWD8oakI5kNUM0CHgx5UwroEzhTVZWxFlmtcEesciRjh4 nMyAIks7RyRDEpQV8CLn8a+O5YCuTRzkjFgZAqOdYuJBrIaALgdYI2bpxBSa3T6onRapjpli3Toz8fjs pw ----- пытался всякими дешифровальщиками его открыть , ничего не открывает. и еще из оригинала wp файлы установил, и functions.php почистил, сайт стал нормально работать. еще проверял сайт айболитом, нашел 2 shell скрипта, их тоже удалил. 0

@Black_Chaos 7 / 7 / 1 Регистрация: 18.07.2013 Сообщений: 42
	08.04.2014, 20:51	7
	А почему бы просто не снять шкурку с сайта и не попробовать у себя на машине установить новую версию движка? И полностью его скомпоновать как надо? А потом перенести на хост? Но это вполне нормальный код =) просто это типа ссылки =) скажем как пробел преобразовывается при передачи гетом в %20 (если не путаю). Так и тут если не сложно скиньте полностью фалик pomo и я попробую вам его разобрать ради интереса, что там делаемся =). Ну это если вам интересно Добавлено через 1 минуту Если нужна какая либо помощь то пишите в личку и помогу перейти на новый движок. если возникнут трудности 0

@Evgeniy71rus 32 / 32 / 5 Регистрация: 15.11.2010 Сообщений: 167
	03.04.2015, 19:46	8
	Такая же хрень сегодня была обнаружина WordPress 3.6 pomo.rar 0