Вирус WordPress
В интернете несколько раз натыкался на обсуждение новой напасти. На сайте появляется php шелл, также файлы swf, модифицируется один из js файлов — из него вызывается залитый на сайт js файл. Особенно это обидно, если ваше детище имеет ТИЦ. В Firebug видны запросы к сайту _http://_spraos_._pw_ (подчеркивания убрать). При этом видно, что отсылается логин и хеш пароля админа сайта. Кстати, если вдруг забыли пароль администратора — прочитайте, поможет.
В качестве лечения находим сам шелл. Для этого используем поиск по файлам с помощью Notepad++ (просто незаменимая программа). Ищем такую сигнатуру:
preg_replace("/.*/".'e',chr(101).chr(118).chr(97).chr(108).chr(40).chr(103).chr(122).chr(105).chr(110).chr(102).chr(108).chr(97).chr(116).chr(101).chr(40).chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101).chr(40).chr(39)
И удаляем найденный шелл.
Далее ищем модифицированный js файл. Как правило у него в самом конце добавлена строка
document.write("<scr"+"ipt src='тут путь к файлу'><"+"/script>")
Удаляем эту строку и внимательно смотрим на src (у меня там написано тут путь к файлу). Этот скрипт добавляет на сайт div с внедренным swf. В принципе, удалив сам js файл, указанный в src у нам swf не будет наносить вреда и можно этим ограничиться. Дело в том, что путь к swf в скрипте зашифрован.
Если же нужно удалить и swf, то открываем файл, указанный в src и перед строкой
var div = document.createElement('div');
вставляем строку
alert (counter);
Заходим на наш сайт (обновляем) и видим alert с адресом нужного нам swf. Удаляем его. Вирус WordPress удален.
Теперь обязательно меняем все пароли — на сайт, на ftp, к панели хостера, к базам mysql. Удачи в борьбе с напастями!