wordpress схватил вирус, дающий нагрузку на проц. Как пофиксить? (даю строки из лога)

(Ответов: 6, Просмотров: 720)
  1. Дипломник Аватар для SuperMega
    • Регистрация: 19.08.2010
    • Сообщений: 152
    • Репутация: 31
    • Webmoney BL: ?
    Подскажите, как пофиксить заразу малой кровью? Грузит проц на 75%, забивает диск логами. Вот несколько строк из лога ошибок:

    PHP код:
    2016/03/02 17:30:28 [crit2629#0: *7 connect() to unix:/var/run/php-fpm.www-data.sock failed (2: No such file or directory) while connecting to upstream, client: 95.174.117.169, server: mysite.com, request: "GET /phpmyadmin/ HTTP/1.1", upstream: "fastcgi://unix:/var/run/php-fpm.www-data.sock:", host: "193.124.184.84"
    2016/03/02 17:30:29 [crit2629#0: *7 connect() to unix:/var/run/php-fpm.www-data.sock failed (2: No such file or directory) while connecting to upstream, client: 95.174.117.169, server: mysite.com, request: "GET /phpmyadmin/phpmyadmin.css.php?server=1&lang=ru&collation_connection=utf8_general_ci&token=8a213573ffc3a74c8076a04961934341&nocache=4342892479ltr HTTP/1.1", upstream: "fastcgi://unix:/var/run/php-fpm.www-data.sock:", host: "193.124.184.84", referrer: "http://193.124.184.84/phpmyadmin/"
    2016/03/02 17:30:29 [crit2629#0: *14 connect() to unix:/var/run/php-fpm.www-data.sock failed (2: No such file or directory) while connecting to upstream, client: 95.174.117.169, server: mysite.com, request: "GET /phpmyadmin/js/get_scripts.js.php?lang=ru&collation_connection=utf8_general_ci&token=8a213573ffc3a74c8076a04961934341&scripts[]=jquery/jquery-1.8.3.min.js&scripts[]=ajax.js&scripts[]=keyhandler.js&scripts[]=jquery/jquery-ui-1.9.2.custom.min.js&scripts[]=jquery/jquery.sprintf.js&scripts[]=jquery/jquery.cookie.js&scripts[]=jquery/jquery.mousewheel.js&scripts[]=jquery/jquery.event.drag-2.2.js&scripts[]=jquery/jquery-ui-timepicker-addon.js&scripts[]=jquery/jquery.ba-hashchange-1.3.js&scripts[]=jquery/jquery.debounce-1.0.5.js&scripts[]=jquery/jquery.menuResizer-1.0.js&scripts[]=cross_framing_protection.js&scripts[]=rte.js&scripts[]=tracekit/tracekit.js&scripts[]=error_report.js&scripts[]=doclinks.js&scripts[]=functions.js&scripts[]=navigation.js&scripts[]=indexes.js&scripts[]=common.js&scripts[]=codemirror/lib/codemirror.js&scripts[]=codemirror/mode/sql/sql.js&scripts[]=codemirror/addon/runmode/runmode.js HTTP/1.1", upstream: "fastcgi://unix:/var/run/php-fpm.www-data.sock:", host: "193.124.184.84", referrer: "http://193.124.184.84/phpmyadmin/"
    2016/03/02 17:30:29 [crit2629#0: *13 connect() to unix:/var/run/php-fpm.www-data.sock failed (2: No such file or directory) while connecting to upstream, client: 95.174.117.169, server: mysite.com, request: "GET /phpmyadmin/js/whitelist.php?lang=ru&db=&collation_connection=utf8_general_ci&token=8a213573ffc3a74c8076a04961934341 HTTP/1.1", upstream: "fastcgi://unix:/var/run/php-fpm.www-data.sock:", host: "193.124.184.84", referrer: "http://193.124.184.84/phpmyadmin/" 
    Движок: wordpress

    Сейчас временно лишил домен поддержки PHP, нагрузка сразу упала до почти нуля, хотя на VPS еще несколько сайтов. То есть, нагрузку создает только один сайт.
    • 0
  2. Гуру Аватар для buninsan
    • Регистрация: 12.02.2012
    • Сообщений: 1,021
    • Репутация: 189
    у вас же есть бекап хотя-бы годичной давности, надеюсь да, в этом случае базу данных не трогаете, сохраняете резервную копию нынешнего состояния сайта, затем удаляете все файлы и заливаете из резервной копии, потом вносите правки в шаблон и доустанавливаете плагины на текущий момент, это будет надежно и малой кровью.
    • 1

    Спасибо сказали:

    SuperMega(04.03.2016),
  3. Дипломник Аватар для SuperMega
    • Регистрация: 19.08.2010
    • Сообщений: 152
    • Репутация: 31
    • Webmoney BL: ?
    buninsan, я примерно так и думал. Вычистить файлы темы (а они вроде чистые), переустановить движок и плагины, перенастроить все настройки. В этом то и дело, настроек много придется восстанавливать с нуля. Думал, что можно как-то поймать вирусню за хвост.

    Кстати, заметили? IP хакера сингапурский. )
    • 0
  4. Гуру Аватар для buninsan
    • Регистрация: 12.02.2012
    • Сообщений: 1,021
    • Репутация: 189
    понимаете в чем дело, вам могли залить какой нибудь файл похожий на ваш, теже недобросовестные хостеры, или попросту ломанули сайт, ну допустим вы вычистите какой-то подозрительный код, но в чистоту всех остальных файлов будет трудно поверить, поэтому даже замена файлов из резервной копии вам не поможет, а поможет тупое удаление всех файлов и залитие из резервной копии, делайте на денвере.
    • 1

    Спасибо сказали:

    SuperMega(04.03.2016),
  5. Дипломник Аватар для SuperMega
    • Регистрация: 19.08.2010
    • Сообщений: 152
    • Репутация: 31
    • Webmoney BL: ?
    Спасибо, идею я понял. Однако, можно обойтись без денвера. Поменяю сайту домен на test.ru (и пусть хакер шлет свои пакеты на него), законнектюсь с сайтом через файл host, буду на него поглядывать и просто вручную спарсю дизайн и контент на новый сайт, который сделаю на свежем софте.
    Просто хотелось глянуть на тело вируса, где он сидит.
    • 0
  6. Опытный Аватар для awmaster08
    • Регистрация: 22.02.2008
    • Сообщений: 443
    • Репутация: 55
    • Webmoney BL: ?
    Попробуйте AI-Bolit - сканер вирусов, хакерских шеллов, бэкдоров https://www.revisium.com/ai/. Очень помог в свое время :)
    • 1

    Спасибо сказали:

    SuperMega(07.03.2016),
  7. Дипломник Аватар для SuperMega
    • Регистрация: 19.08.2010
    • Сообщений: 152
    • Репутация: 31
    • Webmoney BL: ?
    awmaster08, AI-Bolit - сканер вирусов помочь не смог. Явно на вирус не указал. Сами ребята из этой конторы предложили полечиться у них с гарантией за 4,5 тыс. рублей. Я подумал, что дешевле будет пересобрать сайт с нуля, так как делал его я и особого труда снова его сделать мне не составит. Для этого я решил снова его включить и спарсить html-копию страниц локально себе на комп, чтобы потом спокойно листать и копипастить контент на новый сайт. Включил сайт, но он отказался работать. Видимо вирус таки внес фатальные изменения в файлы сайта. Ну, ничего, подумал я, и восстановил сайт из недельного бэкапа. Сайт заработал. Нагрузку не создает. Вторые сутки - полет нормальный. И я задумался, а где же вирус? Бэкап сайта у меня был в формате *.dar и лежал на яндекс.диске. Возможно именно это стечение обстоятельств и явилось причиной того, что вирус с сайта исчез? Указанный формат архива дает возможность пофайловой индексации содержимого архива, а яндекс.диск оборудован нехилым антивирусом. Совокупность того и другого дало неожиданный результат - яндекс.диск на автомате вылечил бекап моего сайта от вирусов, причем вылечил так, что работоспособность сайта не пострадала. Может быть такое вообще? Проверьте.
    И пока все побежали проверять мои догадки, расскажу, как я настроил бэкап сайта на яндекс.диск.
    Для этого я использовал ISP-manager. Заходите на сервер под root и там ищите вот этот пункт:

    Там выбираете хранилище для хранения резервных копий "Яндекс.диск". Привязываете его нажатием одной кнопки (нужно согласиться на доступ приложения к вашему яндекс.диску), указываете папку для бэкапа, указываете максимальный размер папки и сохраняете изменения. И все. После сохранения резервных копий, сайты можно будет восстанавливать с них на автомате, как и обычно, двумя кликами.
    Миниатюры 11767517.jpg  
    Последний раз редактировалось SuperMega; 07.03.2016 в 18:18.
    • 1

    Спасибо сказали:

    Вадим(09.03.2016),

Похожие темы

Темы Раздел Ответов Последний пост
Как я удалил вирус HEUR:Trojan.Script.Iframe из WordPress
Дайджест блогосферы 5 27.02.2016 17:46
Снизить нагрузку на сервер от пациента на Wordpress
Другая работа 0 10.09.2015 14:03
Вирус атаковал мой блог на wordpress
WordPress 14 22.12.2013 20:40
Специалист по wordpress - пофиксить неполадки ИМ на e-Commerce
Создание сайтов 12 17.10.2012 22:43

У кого попросить инвайт?

Вы можете попросить инвайт у любого модератора:

Информеры