Описание проблемы

Обнаружено хроническое заражение сайта. При удалении появляются новые подозрительные файлы и пользователи. Необходимо найти источник заражения, а не просто удалять следы.

Детали заражения

• В папке wp-content обнаружена подозрительная папка: imcb3f18.
• В файле edit.php находится обфусцированный код (с использованием obfuscated; goto; curl, stream_socket_client; hex/base64 строки) - типичный бэкдор, webshell.
• Найдены копии папки: imcb3f18, imcb3f18_infected, imcb3f18_NEW.
• Судя по датам файлов (старые timestamp), первичное заражение произошло около 2021 года.
• На сайт постоянно добавляются новые пользователи и агенты. Если их не удалять, появляются несанкционированные ссылки. Сама папка wp-content/imcb3f18 восстанавливается после каждого добавления новых пользователей.

Требования к исполнителю

• Квалифицированно диагностировать сайт и инфраструктуру (вплоть до сервера, баз данных).
• Не удалять обнаруженные пользователи и зараженные файлы немедленно - ХОЗЯИНУ нужно видеть результаты вашей работы и успевать фиксировать.
• Найти источник вируса: точка входа, скрипт плагина/темы, позволяет заражать сайт.
• Предоставить полный отчет о каждом найденном элементе (путь, суть для чего используется, скриншоты кода).
• Работа выполняется под полным контролем заказчика с его ноутбука; изменение настроек сайта - только с разрешения.
• Обговорить сроки: после устранения вируса в течение двух недель результат должен продержаться. Если проблема возникает снова - работа не засчитывается.
• Результатом являются файлы, код, улики - финализирующие виновника повторной инфекции.

Важно

Мне надоел этот вирус, он долго портит проект и отскакивает от всех чисток. Помогите закрыть этот вопрос раз и навсегда. Удаляя вирус - делаете вместе со мной, и всё будет показано на моих гаджетах. Цена указана как договорная: работаю по результату программы прививок другого уровня. Через 2 недели плановая рекомендация.