[Решено] Странные файлы в корне сайта

[Doost]

Некоторое время тому назад с хостинга прислали письмо следующего содержания:

 

На вашей площадке обнаружены файлы index_backup.php:

%domain_name%/www/index_backup.php

Данные файлы используются злоумышленниками для организации дорвеев и переадресаций с Вашего сайта на сторонние, в том числе нелегальные, ресурсы. Появление такого файла однозначно указывает на то, что Ваш сайт взломан и Ваши данные находятся под угрозой. В данной ситуации рекомендуем Вам тщательно проверить все Ваши сайты на наличие посторонних файлов, обновить версии CMS до актуальных, поменять пароли к административным панелям сайтов и ftp.

Если Вы только удалите перечисленные файлы, не приняв мер к устранению причин взлома, угроза для Ваших данных  сохранится.

 

 

вместе с этим файлом в корне валялись файлы с названиями вида: 

ejmhsbh.php

rmbylaw.php

uiqvwcx.php

fmeudil.php

tpcolyc.php

vnlgrym.php

 

 

Я посмотрел в бекапы - там эти файлы так же присутствовали. Я подумал. что проблема связана с вредоносным кодом, который был внедрен в файл response.php (его я заменил на оригинальный с неделю назад). Файлы удалил, пароли не менял.

в тот же момент проверил все файлы на сайте на наличие процедуры base64_decode ничего подозрительного не углядел.

Пару дней следил за файлами в корне - ничего левого не появлялось.

К слову, когда был левый response.php сайт очень долго грузился, секунд 10 ждал чего-то, потом шустро выплевывал данные. Когда файл заменили - стало все работать хорошо, проблем не было, переадресаций тоже, да и антивирусы вроде не ругались. 

Сегодня обнаружил опять какой-то левый файл в корне. К сожалению просто удалил, забыл сохранить, тобы показать, но старые файлы остались, ниже исходные коды. 

 

Пароль на админку и фтп поменял. 

 

Вопросов парочку, очевидных.

1. что это такое? что оно делает? 

2. что сделать, чтобы его больше не было =)

 

PS примерно в тоже время ставил vqmod и модуль для поддержки мобильной версии сайта (работает череp vqmod).

vqmod и модуль пока не удалял, но в папке xml присутствует только оригинальный  vqmod_opencart.xml другие xml переименованы в *.xml_

ejmhsbh.php

fmeudil.php

rmbylaw.php

tpcolyc.php

uiqvwcx.php

vnlgrym.php

index_backup.php

[afwollis]

2. что сделать, чтобы его больше не было =)

 

купить новый фотоаппарат, а то по этим фотографиям гадание затруднено.

[Doost]

2. что сделать, чтобы его больше не было =)

 

купить новый фотоаппарат, а то по этим фотографиям гадание затруднено.

 

Какая еще информация необходима?

[JohnnyVega]

Права на файлы и директории проверьте. А то часто стоит везде "три топора", а народ при этом жалуется, что хакают постоянно

[mariachameleon]

Права на файлы и директории проверьте. А то часто стоит везде "три топора", а народ при этом жалуется, что хакают постоянно

это да. упустила на одном из своих сайтов на аккаунте права на папку - придарили 4 htaccess (в каждый сайт положили!!!) с редиректом на другой сайт - а там голая тетька и заплатите нам деньги чтобы перейти куда хотели! спасибо google - оперативно среагировал и прислал мне сообщение что на сайте вредоносный код.

[izkypcka]

Так, если есть файлы которые не должны быть - смело их удаляйте.