WP infectado + Pyxsoft

[Rodrigo O. Lima]

Bom dia galera!

Dê-me um help!

1) Tenho alguns clientes com Wordpress e acho que estão com plugins infectados, pois uma conta começou a disparar spam sem ter sido o cliente.

Qual comando posso rodar no servidor para verificar isso?

2) Instalei o Pyxsoft para testar, fiz uma varredura completa no servidor e ele diz que não há malware, porém no relatório de email ele diz que há 1 malware L

Fiquei confuso, pois é controverso o relatório e a varredura.

Se realmente tem 1 malware como vou encontrar se ele não diz?

3) Hoje o Pyxsoft me deu essa mensagem:

05/04/2016

91.135.65.69,}__test|O:21:"JDatabaseDriverMysqli":3:{s:2:"fc";O:17:"JSimplepieFactory":0:{}s:21:"disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:8:"feed_url";s:137:"printcopy($_FILES[file][tmp_name],dirname(JFactory::getConfig()->get(base64_decode(bG9nX3BhdGg))).base64_decode(L3RtcC9zZngucGhw));exit;";s:19:"cache_name_function";s:6:"assert";s:5:"cache";b:1;s:11:"cache_class";O:20:"JDatabaseDriverMysql":0:{}}i:1;s:4:"init";}}s:13:"connection";b:1;}

JI5c22S.php

/Home/USER/public_html/

Forbidden.php in http uploads  

Fiz uma busca nesta pasta que ele indica e não encontro esse arquivo.php

Não consta nada em quarentena e na varredura desta conta diz que não há nada L

Alguém dá uma luz?

Toda ajuda é bem-vinda!

Obrigado.

[Anger]

A primeira coisa que faço é aviso ao cliente de 5 horas. Após isto, bloqueio. O cliente tem que resolver estas questões.

Mas, se você quer ajuda-lo, desativar o plugin já ajuda.

E buscar sempre por arquivos maliciosos em várias pastas. Arquivo Forbidden geralmente é para página não entrada. Faça uma busca por nome de arquivo e veja se encontra algum relacionado dentro da conta do servidor. O Plugin WHM ConfigExplorer ajuda muito neste caso. Mas, pelo próprio cPanel já consegue localizar algo.

Lembre-se: mantenha sempre o Wordpress e plugins atualizados.

 

[Rodrigo O. Lima]

Em 05/05/2016 at 10:39, Anger disse:

A primeira coisa que faço é aviso ao cliente de 5 horas. Após isto, bloqueio. O cliente tem que resolver estas questões.

Mas, se você quer ajuda-lo, desativar o plugin já ajuda.

E buscar sempre por arquivos maliciosos em várias pastas. Arquivo Forbidden geralmente é para página não entrada. Faça uma busca por nome de arquivo e veja se encontra algum relacionado dentro da conta do servidor. O Plugin WHM ConfigExplorer ajuda muito neste caso. Mas, pelo próprio cPanel já consegue localizar algo.

Lembre-se: mantenha sempre o Wordpress e plugins atualizados.

 

Obrigado @Anger!

Tive que excluir todo WP mesmo, acabei encontrando o danado.

Agora só acho estranho o Pyxsoft no cron manda um email dizendo que tem1 malware, no escaneamento geral diz que não tem nada :/

[PauloNichio]

Pyxsoft já usei e infelizmente não me dei bem com ele também. Acabei desistindo e comprei o CXS. Nunca mais tive problemas [emoji6]

[Rodrigo O. Lima]

Acho que vai ser o jeito @PauloNichio 

Pyxsoft não vai...

Obrigado!

[Alexandre Duran]

Em 09/05/2016 at 12:41, PauloNichio disse:

Pyxsoft já usei e infelizmente não me dei bem com ele também. Acabei desistindo e comprei o CXS. Nunca mais tive problemas

A melhor solução é o CXS realmente.

[Rodrigo O. Lima]

Valeu @Alexandre Duran

Abraços.