Сайт на WordPress. Обнаружен был вирус (вредоносная программа, троян). Как удалить?

Ссылка скопирована
1 ответ

Здравствуйте,
Сайт на Wordpress. Обнаружен был вирус (вредоносная программа, троян). Сомнительные файлы были удалены с сайта и многократное сканирование показало, что теперь сайт чист, но в каждой папке сайта, в каждой остался файл:
.htaccess
одного размера и вот с таким содержанием:

<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index.php - [L] RewriteRule ^.*.[pP][hH].* - [L] RewriteRule ^.*.[sS][uU][sS][pP][eE][cC][tT][eE][dD] - [L] <FilesMatch ".(php|php7|phtml|suspected)$">     Deny from all </FilesMatch> </IfModule>

<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index.php - [L] RewriteRule ^.*.[pP][hH].* - [L] RewriteRule ^.*.[sS][uU][sS][pP][eE][cC][tT][eE][dD] - [L] <FilesMatch ".(php|php7|phtml|suspected)$"> Deny from all </FilesMatch> </IfModule>

Надо ли его удалить?
На что такой файл может влиять с таким содержанием подскажите пожалуйста.

Дополнительно:

Ответы:

Надо ли его удалить?

Надо.

многократное сканирование показало, что теперь сайт чист,

Но дыра осталась.
См https://ru.stackoverflow.com/questions/777029/%D0%...

Нужно решить такую задачу?

Опишите проблему, и специалист поможет с настройкой, исправлением ошибки или доработкой сайта. Подберём понятный план работ без лишней переписки.

Заказать помощь
Лучший ответ
1
WordPress-редакция Ответ

Такой .htaccess в каждой папке выглядит как следы заражения или попытка «законсервировать» подозрительные PHP-файлы. Правило запрещает выполнение PHP/phtml/suspected в папках. Иногда такие файлы создаёт антивирусный скрипт или хостинг после чистки, но на нормальном WordPress не должно быть отдельного .htaccess в каждой директории без понятной причины.

Удалять вслепую всё тоже не стоит. Сначала сделайте полный бэкап файлов и базы. Затем проверьте, кто и когда создал эти файлы, и есть ли рядом подозрительные PHP-файлы.

Содержимое:

RewriteRule ^.*.[pP][hH].* - [L]
FilesMatch ".(php|php7|phtml|suspected)$"
  Deny from all

RewriteRule ^.*.[pP][hH].* - [L] FilesMatch ".(php|php7|phtml|suspected)$" Deny from all

может блокировать выполнение PHP в папках загрузок и тем самым мешать backdoor-скриптам. Но если такой файл лежит в папках плагинов или темы, он может сломать нормальную работу, потому что там PHP должен выполняться.

Правильная чистка:

  1. Скачать копию сайта.
  2. Сравнить WordPress core с чистой версией.
  3. Переустановить плагины и темы из официальных источников.
  4. Удалить неизвестные PHP-файлы в uploads.
  5. Проверить mu-plugins, wp-config.php, cron, пользователей-админов.
  6. Сменить все пароли.

В uploads можно оставить защитный .htaccess, который запрещает PHP. В папках core, темы и плагинов такие файлы должны быть только если вы точно понимаете зачем. Если сканер говорит «чисто», это не гарантия: backdoor может быть обфусцирован или лежать в базе.

После очистки включите мониторинг изменения файлов. Если .htaccess появляется снова, значит источник заражения не удалён.

Другие ответы (0)

Пока нет других ответов. Будьте первым, кто поможет автору.

Ответить на вопрос

комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Вам также может быть интересно