Перейти к содержанию
Dmitry1982

Вирус или не вирус? cache.php

Рекомендуемые сообщения

Здравствуйте.

 

Панель управления хостингом указала, что файл по адресу admin/cache.php заражен вирусом.

Вот скрин с куском кода http://prntscr.com/mozckz

Вирус это или нет? судя по дате последнего изменения файла, он уже давнишний. Но уведомление пришло недавно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да, зловред

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У вас установлен модуль подписаться на новости?
Помимо этого у вас должен там лежать файл adminner.php - вас взломали и знают данные ко всем БД.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
18 минут назад, buslikdrev сказал:

У вас установлен модуль подписаться на новости?
Помимо этого у вас должен там лежать файл adminner.php - вас взломали и знают данные ко всем БД.

Модуля такой не устанавливал и файла в папке нет.

Изменено пользователем Dmitry1982

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
41 минуту назад, chukcha сказал:

да, зловред

Я удалил его.

 

И обнаружил еще подозрительные файлы

http://prntscr.com/mozobo

http://prntscr.com/mozog3

Это тоже могут быть вирусы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Dmitry1982 сказал:

Такого файла в папке нет.

Через логи сервера можете поискать обращение к cache.php и другим файлам и выяснить через какой модуль взломали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, buslikdrev сказал:

Через логи сервера можете поискать обращение к cache.php и другим файлам и выяснить через какой модуль взломали.

Логов там ну очень много

Изменено пользователем Dmitry1982

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У вас установлен модуль подписаться на новости?
Помимо этого у вас должен там лежать файл adminner.php - вас взломали и знают данные ко всем БД.
Интересно о каком именно модуле вы имели ввиду?

Отправлено через Tapatalk

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нашел несколько строчек. Но ничего так и не понял...

 

178.121.59.97 - - [23/Feb/2019:11:25:40 +0300] "GET /admin/cache.php HTTP/1.0" 200 111 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
178.121.59.97 - - [23/Feb/2019:11:25:41 +0300] "GET /favicon.ico HTTP/1.0" 404 209 "https://sexved.ru/admin/cache.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
178.121.59.97 - - [23/Feb/2019:11:25:45 +0300] "POST /admin/cache.php HTTP/1.0" 200 111 "https://sexved.ru/admin/cache.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
178.121.59.97 - - [23/Feb/2019:11:25:50 +0300] "POST /admin/cache.php HTTP/1.0" 200 111 "https://sexved.ru/admin/cache.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
178.121.59.97 - - [23/Feb/2019:11:25:54 +0300] "GET /admin/cache.php HTTP/1.0" 200 111 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Dmitry1982 сказал:

Нашел несколько строчек. Но ничего так и не понял...

 

178.121.59.97 - - [23/Feb/2019:11:25:40 +0300] "GET /admin/cache.php HTTP/1.0" 200 111 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
178.121.59.97 - - [23/Feb/2019:11:25:41 +0300] "GET /favicon.ico HTTP/1.0" 404 209 "https://sexved.ru/admin/cache.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
178.121.59.97 - - [23/Feb/2019:11:25:45 +0300] "POST /admin/cache.php HTTP/1.0" 200 111 "https://sexved.ru/admin/cache.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
178.121.59.97 - - [23/Feb/2019:11:25:50 +0300] "POST /admin/cache.php HTTP/1.0" 200 111 "https://sexved.ru/admin/cache.php" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"
178.121.59.97 - - [23/Feb/2019:11:25:54 +0300] "GET /admin/cache.php HTTP/1.0" 200 111 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36"

Ищите ещё раньше, до времени обнаружения, не смотря, что много лога, что тут поделаешь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Вы комментируете как гость. Если у вас есть аккаунт, пожалуйста, войдите
Ответить в этой теме...

×   Вы вставили контент с форматированием.   Удалить форматирование

  Разрешено использовать не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.