Sono in una situazione un po 'noiosa. Ho ereditato le responsabilità di un multiservizio di WordPress, una volta gestito da altri appaltatori e quel sito è stato infettato da malware in grado di eliminare virus.
Sono comunque in una scatola nera. Il sito è ospitato da un altro appaltatore e non posso accedere al loro server.
Mi hanno fornito un dump DB, una copia dell'intera installazione di WordPress e una copia del virus in quarantena e l'ho scannerizzata personalmente. Quando l'ho scansionato, avast e AVG hanno trovato 3 BackDoor.shell con i nomi oggetto di "revslider \ love.php" "revslider \ arhy.php" e "revslider \ xxx.php"
Il fatto è che il plugin revslider non è installato. Ho cercato l'intera installazione di WordPress per "revslider" "revolution slider" e "revolution" e non ho trovato nulla da nessuna parte (stavo cercando anche nei temi).
Perché avast e AVG mi dicono entrambi che il revslider ha qualcosa a che fare con esso se non è installato?
Che altro posso cercare?
Note - Devo notare che questo sito è in una VM su un host condiviso.
Inoltre, ho letto il link e ho cercato i soliti sospetti:
- "eval (base64_decode (... .."
- "edoced_46esab ..."
- "getMama ..."
- "115,99,114,105,112,116 ...."
- “document.write (‘
ma non ha trovato molto. Ho trovato qualcosa xyz-popup in questo plugin premium, ma quando ho scaricato una nuova copia era lì. (Mi sto liberando comunque di quel plugin)
Sto anche ricostruendo il server con nuove copie di plugin e temi mentre indago su questo.