Неизвестные PHP-файлы, странные папки, закодированный код или файлы с недавней датой изменения могут быть признаком заражения. Самый безопасный подход — сначала изучить, потом чистить; случайное удаление файлов может стереть следы и усложнить восстановление.
Признаки подозрительных файлов
- Файлы со случайными именами вроде wp-vcd.php, class-*.php в необычных папках или длинные бессмысленные имена.
- PHP-файлы внутри uploads/cache, где обычно ожидаются картинки или сгенерированные файлы.
- Код с eval, base64_decode, gzinflate или цепочками remote include.
- Много файлов изменено в одно и то же необычное время.
- Новые администраторы или неизвестные cron-задачи появились примерно в то же время.
Как действовать безопасно
- Сделайте backup текущего зараженного состояния для анализа.
- Сравните файлы с чистой версией CMS, если это возможно.
- Проверьте недавно измененные файлы и .htaccess.
- Отключайте подозрительные плагины/темы, а не удаляйте весь сайт сразу.
- После очистки смените пароли и обновите CMS.
find public_html -type f -mtime -7 -print
find public_html -type f -name '*.php' -mtime -14 -print
Действия с приоритетом безопасности
- Обновите ядро WordPress, темы и плагины.
- После инцидента смените пароли wp-admin, FTP, базы и панели хостинга.
- Проверьте неизвестных администраторов и подозрительные файлы.
- Чистый бэкап делайте только после удаления заражения.
Чеклист инцидента безопасности
- Не удаляйте подозрительные файлы до сохранения копии для анализа.
- После чистки смените пароли панели, FTP/SFTP, администраторов CMS и пользователей базы.
- Проверьте неизвестных администраторов, измененные файлы и неожиданные редиректы.
- Обновите ядро CMS, темы и плагины.
- Восстанавливайте сайт только из чистого бэкапа, а не из копии, где уже было заражение.
Пришлите домен, текст предупреждения браузера, что менялось недавно и где проблема: на www, без www или везде. Поможем проверить SSL, редирект, mixed content и подозрительные файлы. Написать в чат.
Что проверить в панели хостинга
Панель хостинга помогает управлять сайтами, доменами, базами данных, почтой, PHP и файлами. Перед изменениями важно убедиться, что выбран правильный домен или аккаунт, особенно если в панели размещено несколько сайтов.
- проверьте путь к корневой папке сайта;
- убедитесь, что выбрана нужная версия PHP;
- проверьте лимиты диска, inode и базы данных;
- при работе с файлами сохраняйте резервную копию;
- после изменения настроек очищайте кэш сайта и браузера.
Если инструкция не совпадает с вашей панелью, уточните, используется DirectAdmin, cPanel, ISPmanager или другая система управления.
Что подготовить перед обращением
Чтобы поддержка GoodNet быстрее разобралась с вопросом по теме «Подозрительные файлы на хостинге: как проверить их безопасно», укажите домен, услугу, время появления проблемы, что менялось перед этим и приложите точный текст ошибки или скриншот. Это помогает сразу перейти к диагностике, а не тратить время на уточнение базовых данных.
