kirill7

Предлагаю сравнить списки модулей и модификаторов которые установлены на сайтах, возможно получится выявить некоторую закономерность. Пока лучше наверное через личку.

Это скорее всего не сама дыра через которую он проникает на сайт, т.к. в нашем случае как только он написал - мы сделали бэкап и этого файла там не было, как не было его и перед самим "лечением", когда он успел уже напакастить. Появился он только после его "лечения". Возможно он проникает через другую дыру, копирует этот файл и начинает делать свои тёмные дела. Потом подчищает свои следы(если не забывает).

Недавно один владелец сайта обратился с такой же проблемой. Некий человек так же обратился со скринами БД, админки, последних заказов. Уверял в своей порядочности. Обещал исправить все уязвимости сайта(именно opencart'a) и продемонстрировать где что изменил, чтобы никто больше не смог использовать эти уязвимости. Срочно поменяли все пароли, сделали бэкапы. Все модули покупные. После этого он "разозлился" и удалил файл из админки, после чего админка перестала работать. И начал угрожать что будет обзванивать всех покупателей и распространять негативную информацию о сайте. В общем владелец оплатил. Тот человек что-то там поделал и сообщил что всё исправлено. В итоге он написал что исправил несколько системных файлов которые избавят от RFI и RCE атак. Что именно он сделал он так и не сказал, т.к. эта информация может стать доступна разработчикам и он потеряет заработок. Сравнили файлы - ничего не изменилось, только один файл появился лишний, похоже забыл удалить: /catalog/view/index.php Файл прикрепил к сообщению. index.php