[redeyer]

Capt.PR,если остался дистрибутив шаблона, который вы взяли у человека, проверьте в нем .htaccess в аналогичных папках.
Да и вообще любые htaccess. Полезно также сделать поиск "re=" внутри файлов. Если есть доступ к консоли сервера, то что-то вроде find ./sitedir/|xargs grep 're='.

YARPP ставили с официального сайта вп? ( https://wordpress.org/plugins/yet-an...-posts-plugin/ )
В общем, надо в первую очередь искать и смотреть в плагинах и шаблонах, которые были взяты НЕ с официальных мест.

[rasdotsu]

Проверьте еще все пхп файлы на вставки кода для загрузки.

[Capt.PR]

redeyer, Да, чистая копия шаблона осталась, по ней и проверял.
YARPP устанавливал человек, который верстал и настраивал шаблон. Вряд ли он паленую копию использовал бы, но я спрошу у него.
Сейчас Каспером проверяю весь комп, в папке, куда скачал сайт с хостинга он еще пару троянов нашел.
Поиск попробую запустить, хотя никогда этого не делал. Думаю, что разберусь.

Еще мне через форму обратной связи с сайта какой-то школьник письмо прислал, что у меня на сайте форум с незаконным содержанием. Предложил удалить, а то он в Роскомнадзор пожалуется и на блокировку подаст. Вот так). В трех строчках куча ошибок, а все туда же, угрожает.

---------- Сообщение добавлено 21:38 ---------- Предыдущее 21:31 ----------

rasdotsu,Подскажете как это сделать? Я в пхп не силен.

[tvojwordpress]

Вся ругань на плагин YARPP, тут я самостоятельно разобраться не смогу

Почему же? Удалить этот плагин и все

[redeyer]

tvojwordpress, не всегда автоматическое средство поиска сигнатур означает что найденное им есть вредоносный код.
В случае с yarpp это можно проверить взяв чистый вп, установить в него плагин с офсайта и натравить айболит. Скорей всего он покажет то же самое.

rasdotsu,Подскажете как это сделать? Я в пхп не силен.

Обычно вставки вредоносного кода закодированы в base-64. Не знаю, что имел в виду rasdotsu говоря о вставках кода для загрузки, но вот тут есть пару способов проверки файлов на вставки base-64, а тут есть даже простейший перекодировщик.

[Далер]

+ надо искать дыру в хостинге ( такое тоже может быть)

[Capt.PR]

Пока установил All In One WordPress Security and Firewall Plugin, посмотрю как себя покажет. В нем есть функция обнаружения измененных файлов и масса всяких настоек безопасности.

[Capt.PR]

Плагин уже дает первые результаты). Там есть отслеживание 404 страниц. Видно, что с одного адреса долбятся к файлу /apple-touch-icon.png. У меня его нет, потому 404 отдается. Наверное, это какой-то уязвимый файл.
Напрягает, что с ip 127.0.0.1 тоже к нему пара запросов отследилась. Гугл говорит, что это то же самое сетевое устройство (компьютер) , с которого осуществляется отправка сетевого пакета или установление соединения.
Т.е. похоже. что мой комп отправляет эти запросы. Хотя я его вчера полностью Каспером прогнал(.

[redeyer]

Capt.PR, да, 127.0.0.1 (localhost) - это сам хост шлет запросы к самому себе. Loopback-интерфейс, есть на любом устройстве. Это не означает то что ваш комп отправляет, а что на самом хостинге что-то отправляет запросы к сайту. Ну например, если запустить какой то скрипт на хостинге, который будет обращаться к сайту по http - будет как раз такой IP в логах. или сайт на вашем же компьютере установлен?

[Capt.PR]

redeyer, нет, сайт на хостинге. С 127.0.0.1 я уже разобрался. Это сам плагин так настроен. В настройках нашел установку (по умолчанию), которая отправляет всех, кто заходит с заблокированных ip на этот самый адрес. Там можно любой ip прописать. Вот я думаю какой бы туда адресок указать). Не подскажите адресок какого-нибудь большого и очень злого сайта? Ну или форума хакерского?