Неизвестные PHP-файлы, странные папки, закодированный код или файлы с недавней датой изменения могут быть признаком заражения. Самый безопасный подход — сначала изучить, потом чистить; случайное удаление файлов может стереть следы и усложнить восстановление.
Признаки подозрительных файлов
- Файлы со случайными именами вроде wp-vcd.php, class-*.php в необычных папках или длинные бессмысленные имена.
- PHP-файлы внутри uploads/cache, где обычно ожидаются картинки или сгенерированные файлы.
- Код с eval, base64_decode, gzinflate или цепочками remote include.
- Много файлов изменено в одно и то же необычное время.
- Новые администраторы или неизвестные cron-задачи появились примерно в то же время.
Как действовать безопасно
- Сделайте backup текущего зараженного состояния для анализа.
- Сравните файлы с чистой версией CMS, если это возможно.
- Проверьте недавно измененные файлы и .htaccess.
- Отключайте подозрительные плагины/темы, а не удаляйте весь сайт сразу.
- После очистки смените пароли и обновите CMS.
find public_html -type f -mtime -7 -print
find public_html -type f -name '*.php' -mtime -14 -printПодозрительным файлам нужен контекст
Пришлите домен и несколько подозрительных путей к файлам. Поможем понять, где обычный код CMS, а что нужно удалить.
Проверить подозрительные файлы