Файлы, сгенерированные в нескольких каталогах, предположительно с помощью WordPress (advanced_settings.php и common_config.php)

У меня есть несколько сайтов в cPanel. Несколько из них – WordPress. Я перешел на новый хостинг-провайдер, и с тех пор два файла начали создаваться в нескольких каталогах, даже не из WordPress. Файлы: advanced_settings.php и common_config.php .

Система сообщает эти файлы как вредоносное ПО, однако я открыл их, и они были пустыми. Хостинг-провайдер говорит, что это ошибка WordPress, скорее всего, из-за устаревшего плагина.

Ничего из этого не происходило на хостах, которые я использовал раньше для этих сайтов. На самом деле, у меня никогда не было такой ситуации на любом сайте WordPress. Я искал в Google и здесь, но я ничего не нашел об этом. Я разделяю это здесь, надеясь, что кто-то уже или читал об этом, и может поделиться некоторой помощью.

Solutions Collecting From Web of "Файлы, сгенерированные в нескольких каталогах, предположительно с помощью WordPress (advanced_settings.php и common_config.php)"

Эти файлы являются частью заражения вредоносными программами PHP. Мы находимся в процессе очистки текущей инфекции, которая имеет очень похожее поведение.

Хотя это вредоносное ПО также заражает не WordPress, а когда он атакует сайт WordPress, мы замечаем некоторые очень последовательные шаблоны:

  • Два файла («advanced_settings.php» и «common_config.php»), которые содержат обфускационный код, помещаются в папку wp-admin/css/colors/blue
  • Дополнительный обфускационный код вводится в файл index.php в корневом каталоге установки WordPress
  • Часто, но не всегда, файл index.php, расположенный в wp-content/plugins и / или wp-content/themes содержит в него код
  • Файл wp-config.php в корневом каталоге установки WordPress обычно содержит код, в который он вводится
  • Ряд дополнительных файлов .php вставляются в случайные места в папки тем и папки плагинов

и, наконец, следующие дополнительные файлы были последовательно добавлены в каждую установку WordPress:

wp-includes/Requests/Auth/include.php wp-includes/Requests/Exception/global.php wp-includes/Requests/Exception/include.php wp-includes/Requests/Exception/utf.php wp-includes/Requests/Proxy/sql.php wp-includes/Requests/Utility/defines.php wp-includes/SimplePie/Net/javascript.php wp-includes/js/imgareaselect/test11.php wp-includes/js/tinymce/plugins/diff21.php wp-includes/pomo/menu.php

Эти дополнительные файлы не являются частью ядра WordPress, поэтому простое скачивание нового набора файлов WordPress, которые перезаписывают те, которые установлены на вашем веб-сервере, не избавит их от них (хотя это исправит некоторые из файлов с кодом, их).

Если вы видите 2 файла, которые вы упомянули, появляясь случайным образом, найдите некоторые из упомянутых здесь признаков. В частности, найдите введенный код в файлах index.php и wp-config.php, поскольку они будут выполняться в любое время, когда кто-то посещает ваш сайт или вы, как пользователь admin, заходите на ваш сайт.

На некоторых сайтах WordPress, зараженных этой вредоносной программой, мы также обнаружили появление дополнительной учетной записи пользователя WordPress с правами администратора.

В дополнение к удалению введенного кода и удалению дополнительных файлов мы в настоящее время делаем шаг по удалению фиктивной учетной записи пользователя (когда она была добавлена), заменяя «Salts» в файлах wp-config.php, аннулируя все паролей учетных записей пользователей и изменения пароля MySQL для пользователя базы данных.

Могут быть другие шаги, которые мы предпринимаем, но это то, что мы делаем сейчас. Надеюсь, это полезно!