Tenho 5 instâncias com google cloud, todas rodando WordPress por bitnami. Às 11h de hoje, todos os sites estão inacessíveis... isso é estranho porque não alterei nada e de repente, nem um site, mas todos os sites caíram ao mesmo tempo. Tentei parar e reiniciar as instâncias, nada funcionou... SSH e FTP ainda acessíveis. Eu crio uma nova instância com WordPress novo, está funcionando. Alguma ideia do que aconteceu com isso?
**Caso resolvido. Malware encontrado no diretório do plugin. Por favor, leia minha resposta abaixo para mais informações.
Responder1
Descobri que o problema não se deve ao servidor Google Cloud. Após horas de investigação, encontrei um arquivo de plugin de malware dentro da minha pasta de plugins do WordPress. Depois de renomeá-lo, todos os meus sites estão funcionando. Não sei como esse plugin entrou no meu diretório do WordPress. Os detalhes do malware são os seguintes: Nome do plug-in: Descrição do código personalizado: mostra códigos de anúncios personalizados com muitas opções. Autor: Alberto Uozumi Versão: 1.0
Ele se esconde no menu do plugin, então você não pode desativá-lo ou excluí-lo no WordPress. Não é um plugin do tipo pasta no diretório de plugins. Aparece como "ccode.php" no diretório.
Acho que esse malware está há muito tempo no meu diretório do WordPress. Depois de verificar o código, notei que ele atrairá secretamente anúncios para os novos visitantes do seu site. Esta função fica oculta se você estiver logado ou for um administrador. Tenho clientes reclamando comigo mais cedo, mas não vejo nenhum pop-up da minha parte, então simplesmente os ignorei. Eu não esperava que isso acontecesse.
Este malware também possui seu recurso de atualização automática. Acho que ele se atualiza às 11h de hoje, mas encontrou um erro de codificação ou problema de compatibilidade. Portanto, todos os meus sites caíram ao mesmo tempo. Também possui uma linha de código para ocultar a mensagem de erro causada pelo plugin, portanto, não recebi nenhuma mensagem de erro.
Espero que minha descoberta possa ser útil para a comunidade.
Responder2
Provavelmente, isso se deve ao uso de um modelo ou plug-in anulado. Já vi exatamente a mesma coisa em alguns sites que mantenho com plug-ins anulados. Sempre verifique primeiro o error.log, pois isso apontará para o erro imediatamente. Se você não conseguir localizar o plugin comprometido, você pode fazer com que um trabalho CRON exclua estewp-content/plugins/ccode.phparquivo a cada hora ou limpe o conteúdo do arquivo e torne-o somente leitura.
edit: Também criou um arquivo na mesma pasta chamadoadmin_ips.txtque ele usa.