Pasticcera Posted March 22, 2020 Report Posted March 22, 2020 (edited) Salut, Am creat un site cu wordpress acum 2-3 luni cu template cumpărat, totul a mers bine siteul a fost indexat în google, totul ok., am și instalat un plugin nulled că idiotul.... dar lam șters după câteva ore. Trece cam 1 luna și observ o notificare de la google webmaster că am o pagină care are niște errori la reviews product snippet, ok am spus ce mai e și asta ce drq de pagină e? Întru și văd un articol în engleză despre un software crackuit cu backlink, pagină fără header sau footer doar o imagine și text. Încep să caut prin wp-admin sau prin database cum a reușit să creeze pagină aia fără că să fie undeva la mine pe site, după multe căutări nu am găsit nimic. Scanez directorul cu prin Plesk și cu Imufy și îmi găsește 3 fișiere (virus) 1 în wp-admin și 2 în wp-includes. Șterg imediat fișiere și observ că dispare aceea pagină. Am spus gata am scăpat de el. Totul bune și frumoase după 2 săptămâni primesc din nou o notitifcare de la google webmaster că am 2000 de pagini noi indexate în google..... https://imgur.com/a/MG2wWMZ dar acuma paginile nu contin text sau altceva e un redirect catre pagina : https://www.useful-software.xyz/ Exemplu pagina: /313a4cwin_product-key-for-windows-10-pro_where/ Siteul meu are 20 de pagini in total... Toate linkurile (virus) indexate se gasesc dupa pagina 3 : Am un vps la OVH si panel plesk. Nu vreau sa sterg tot si sa resetez, doar exista o alta solutie... ofer si acces root daca este nevoie. Edited July 11, 2020 by Pasticcera Quote
Nytro Posted March 23, 2020 Report Posted March 23, 2020 Sunt mai multe posibile solutii, insa nu stiu care e cea mai simpla sau cea mai buna. 1. Poti pastra doar fisierele importante (e.g. config, template si mai stiu eu ce) sa stergi tot si sa pui Wordpress curat 2. Poti face un diff intre toate fisierele existente cu un Wordpress curat, probabil e backdoor prin 30 de locuri. Si sa vezi ce fisiere sunt noi 3. Poti da un grep dupa acel site si vezi pe unde apare, dar probabil e obfuscat. Vezi un grep dupa functii gen "eval", "base64" sau mai stiu eu ce Sunt si alte posibilitati probabil. Quote