Такой код нашелся в
wp-app.php (в корне)
class-simplepie.php (wp-includes)
class-IXR.php (wp-includes)

Но не вижу там ничего криминального, хотя я не шарю
В первом авторизация какая-то. В других непонятно, просто этот код в переменной и все...

Выручайте ребята, три ВП блога моих уже с этим вирём


Спасибо за ссылку, искал вчера подобыне сервисы!
Он нашел:

Suspicious domain detected.
Details: http://sucuri.net/malware/malware-entry-mwblacklisted35
'<img src="http://d3.cc.b0.a2.top.mail.ru/counter?id=2147124;t=84;js='+js+


К сожалению или к счастью, такой папки нет у меня...

Сообщение отредактировал koninana - 14.2.2012, 16:27

тогда уж eval ищите


А вы уверены? Я специально написал что скрыта будет. Проверьте настройки своего фтп менеджера – отображать скрытые папки

Да, смотрел черех файл менеджер cpanel. Там точно скрытые видны поставил.

Заменил папку wp-includes от дефолтного ВП - результата нет. По прежнему детектится вирусяка http://sitecheck.sucuri.net

в коде страницы есть нечто подобное:
<iframe src="http://ххх.ххх/ххх?page=611f74d123f57c90" width="0" height="0" frameborder="0"></iframe>

именно такое. только ифрейм 1х1

оно бывает через скрипт или php, если лень искать - смени пароли и перезалей чистый вордпресс с нужными темами и плагинами. кстати, у тебя могут быть "лишние" файлы. если хочешь докопаться - копирни свой сайт в папку, и сравни файлы с чистым движком

Ищите тогда вот такое:


Полюбому где то есть...

Если ничего не нейдете - пишите в АСЬку (в подписи линк на тему с услугами), будем смотреть что у вас там сидит...

Надеюсь, что сегодня моя борьба закончится, с этой пакостью.
Бытует мнение, что во всем виноват traffbiz.

Более подробно о заразе, которая посетила нас:
http://www.m86security.com/labs/traceitem.asp?article=1427
http://www.xakep.ru/post/58210/

В моем случае, на 1 хосте висело 3 блога на WP. Хакнут был только тот, на котором стоял traffbiz.
Собственно через папку domains эта фигня прошлась по всем сайта. Навредила только WP.
Что делает: либо использует каждого посетителя, как шлюз для спамного письма, либо создает директорию, в которой генерирует статичные страницы с анкорными ссылками.

После очистки, места на хосте стало больше на 30-35Мб.

Все, очистил всё.

Сообщение отредактировал Grek - 15.2.2012, 18:13

аналогично, вчера яндекс нашел Mal/JSIfrLd-A
показывает сообщение в Я.вебмастере

как бороться? вредоносных кодов не вижу, плагин BPS стоит.

Начинай лечение с файлов:
/public_html/wp-content/themes/название_темы/thumbopen.php
/public_html/wp-content/themes/название_темы/thumb.php
В них ищи document.write или shell.
Потом три все файлы в папке /public_html/wp-content/themes/название_темы/temp

Дальше все интуитивно понятно, но если что, то пиши.