Мой сайт был взломан: что мне теперь делать?

Question

Мой WordPress сайт был взломан.С помощью этой программы:

http://sitecheck.sucuri.net/ (...)

Я обнаружил, что это касается 2 файлов (на данный момент), и это так.файлы js.

.... dk / wp-includes / js / l10n.js?ver = 20101110 .... dk / wp-includes / js / jquery / jquery.js?ver = 1.6.1

Это какой-то троян (Cruzer B).Вставленный (злоумышленником) код хорошо виден в обоих файлах (видел его через Блокнот)

Оригинальный код одного из файлов выглядит следующим образом:

функция convertEntities (b){var d, a, d = function (c) {if (/ & [^;] +; /. test (c)) {var f = document.createElement ("div");е.innerHTML = c;вернуть!f.firstChild?c: f.firstChild.nodeValue} return c};if (typeof b === "string") {return d (b)} else {if (typeof b === "object") {for (a in b) {if (typeof b [a] === "строка ") {b [a] = d (b [a])}}}} return b};было

Могу ли я просто вручную удалить взломанный код в обоих приложениях и ожидать, что сайт снова заработает или я даже уничтожу больше?

Answer 1

Загрузите новую копию Wordpress (обязательно получите ту же версию), распакуйте ее и посмотрите, есть ли файлы.

Если они есть, замените файлы в вашей установке оригиналами.

Если это не так, вы сможете удалить их.

Answer 2

Я недавно очистил сайт с тем же эксплойтом, который был вызван небезопасным скриптом timthumb.php

Сначала убедитесь, что вы заменили timthumb обновленной версией .Если вы уже заменили все файлы WordPress, вам нужно убедиться, что все ваши файлы тем чистые (даже неактивированные темы).

Я также обнаружил, что скрипт оболочки скрыт в каталоге Servers / tmp и в wp-config.php, который вы не могли бы заменить.В wp-config.php вредоносный код был спрятан после 3000 пустых строк, поэтому убедитесь, что вы действительно находитесь в конце любого проверяемого файла.