Удалить вредоносный код

На Вашем аккаунте обнаружена работа вредоносных скриптов, осуществляющих исходящие запросы вредоносного характера, по которым мы получили жалобу от администратора стороннего сервиса. Приводим фрагмент журналов работы сервера, к которому происходила исходящая вредоносная активность с Вашего аккаунта:

Date: 2017-02-01 03:01:03
Victim domain: hectorllorens.es
Attacker ip: 176.57.210.40
Url: [hectorllorens.es/wp-includes/class-wp-comment.php]
Agent: [Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/31.0.1650.48 Safari/537.36]
Post data: [Array
(
[--37b0d002970047e99fd68494623bd553
Content-Disposition: form-data; name] => "sjr"

*The timezone is UTC+01:00.*

Представленная информация из лога исходящих запросов явно демонстрирует, что атака производилась с Вашего аккаунта (UID Вашего аккаунта - 1287 ):

Feb 1 04:57:05 vh16 kernel: [8404729.550506] Output_TCPSYN: IN= OUT=eth0 SRC=176.57.210.40 DST=84.246.227.123 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=28739 DF PROTO=TCP SPT=53436 DPT=80 WINDOW=29200 RES=0x00 SYN URGP=0 UID=1287 GID=601


Для устранения проблемы мы заблокировали доступ к Вашим сайтам во избежание повторной исходящей атаки на сторонние серверы,
также мы были вынуждены заблокировать возможность отправки писем с сервера.

Наиболее вероятно, данная активность является результатом взлома Вашего аккаунта, поэтому с Вашей стороны необходимо провести аудит безопасности для предупреждения повторения проблемы.

Мы предлагаем Вам следующий порядок действий (не гарантирует полного решения проблем):
1) Скачать все файлы с сервера, проверить их антивирусом и загрузить обратно.
2) Обновить все пароли панели управления аккаунтом, FTP-пользователей, баз данных и административной части Ваших сайтов.
3) Обновить Вашу CMS и ее дополнения.

Срок: 1 месяц

100