Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

[Решено] Странные файлы в корне сайта


Doost

Recommended Posts

Некоторое время тому назад с хостинга прислали письмо следующего содержания:

 

На вашей площадке обнаружены файлы index_backup.php:

%domain_name%/www/index_backup.php

Данные файлы используются злоумышленниками для организации дорвеев и переадресаций с Вашего сайта на сторонние, в том числе нелегальные, ресурсы. Появление такого файла однозначно указывает на то, что Ваш сайт взломан и Ваши данные находятся под угрозой. В данной ситуации рекомендуем Вам тщательно проверить все Ваши сайты на наличие посторонних файлов, обновить версии CMS до актуальных, поменять пароли к административным панелям сайтов и ftp.

Если Вы только удалите перечисленные файлы, не приняв мер к устранению причин взлома, угроза для Ваших данных  сохранится.

 

 

вместе с этим файлом в корне валялись файлы с названиями вида: 

ejmhsbh.php

rmbylaw.php

uiqvwcx.php

fmeudil.php

tpcolyc.php

vnlgrym.php

 

 

Я посмотрел в бекапы - там эти файлы так же присутствовали. Я подумал. что проблема связана с вредоносным кодом, который был внедрен в файл response.php (его я заменил на оригинальный с неделю назад). Файлы удалил, пароли не менял.

в тот же момент проверил все файлы на сайте на наличие процедуры base64_decode ничего подозрительного не углядел.

Пару дней следил за файлами в корне - ничего левого не появлялось.

К слову, когда был левый response.php сайт очень долго грузился, секунд 10 ждал чего-то, потом шустро выплевывал данные. Когда файл заменили - стало все работать хорошо, проблем не было, переадресаций тоже, да и антивирусы вроде не ругались. 

Сегодня обнаружил опять какой-то левый файл в корне. К сожалению просто удалил, забыл сохранить, тобы показать, но старые файлы остались, ниже исходные коды. 

 

Пароль на админку и фтп поменял. 

 

Вопросов парочку, очевидных.

1. что это такое? что оно делает? 

2. что сделать, чтобы его больше не было =)

 

PS примерно в тоже время ставил vqmod и модуль для поддержки мобильной версии сайта (работает череp vqmod).

vqmod и модуль пока не удалял, но в папке xml присутствует только оригинальный  vqmod_opencart.xml другие xml переименованы в *.xml_

ejmhsbh.php

fmeudil.php

rmbylaw.php

tpcolyc.php

uiqvwcx.php

vnlgrym.php

index_backup.php

Надіслати
Поділитися на інших сайтах


2. что сделать, чтобы его больше не было =)

 

купить новый фотоаппарат, а то по этим фотографиям гадание затруднено.

Надіслати
Поділитися на інших сайтах

2. что сделать, чтобы его больше не было =)

 

купить новый фотоаппарат, а то по этим фотографиям гадание затруднено.

 

Какая еще информация необходима?

Надіслати
Поділитися на інших сайтах


Права на файлы и директории проверьте. А то часто стоит везде "три топора", а народ при этом жалуется, что хакают постоянно

  • +1 2
Надіслати
Поділитися на інших сайтах

  • 2 months later...

Права на файлы и директории проверьте. А то часто стоит везде "три топора", а народ при этом жалуется, что хакают постоянно

это да. упустила на одном из своих сайтов на аккаунте права на папку - придарили 4 htaccess (в каждый сайт положили!!!) с редиректом на другой сайт - а там голая тетька и заплатите нам деньги чтобы перейти куда хотели! спасибо google - оперативно среагировал и прислал мне сообщение что на сайте вредоносный код.

Надіслати
Поділитися на інших сайтах


  • 1 month later...

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.