Estoy en una situación un poco molesta. Heredé las responsabilidades de un multisitio de WordPress una vez administrado de otros contratistas y ese sitio ha sido infectado con virus que eliminan el malware.
Sin embargo, estoy en una caja negra. El sitio está alojado por otro contratista y no puedo acceder a su servidor.
Me dieron un volcado de base de datos, una copia de la instalación completa de WordPress y una copia del virus en cuarentena y lo examiné yo mismo. Cuando lo escanee, avast y AVG encontraron 3 BackDoor.shell con los nombres de objeto de "revslider \ love.php" "revslider \ arhy.php" y "revslider \ xxx.php"
Lo importante es que el complemento revslider no está instalado. Busqué en toda la instalación de WordPress "revslider", "control deslizante de revolución" y "revolución" y no encontré nada en ninguna parte (también estaba buscando en los temas).
¿Por qué avast y AVG me dicen que revslider tiene algo que ver si no está instalado?
¿Qué más puedo buscar?
Notas - Debo tener en cuenta que este sitio está en una máquina virtual en un host compartido.
También: he leído enlace y he buscado a los sospechosos habituales:
- "eval (base64_decode (... ..”
- "edoced_46esab ..."
- "getMama ..."
- “115,99,114,105,112,116….”
- "document.write ('
pero no encontré mucho. Encontré algo en este complemento premium xyz-popup, pero cuando descargué una copia nueva, también estaba allí. (Me estoy deshaciendo de ese plugin de todos modos)
También estoy reconstruyendo el servidor con copias nuevas de complementos y temas mientras investigo esto.