Doost

[Решено] Странные файлы в корне сайта

Рекомендуемые сообщения

Doost    1

Некоторое время тому назад с хостинга прислали письмо следующего содержания:

 

На вашей площадке обнаружены файлы index_backup.php:

%domain_name%/www/index_backup.php

Данные файлы используются злоумышленниками для организации дорвеев и переадресаций с Вашего сайта на сторонние, в том числе нелегальные, ресурсы. Появление такого файла однозначно указывает на то, что Ваш сайт взломан и Ваши данные находятся под угрозой. В данной ситуации рекомендуем Вам тщательно проверить все Ваши сайты на наличие посторонних файлов, обновить версии CMS до актуальных, поменять пароли к административным панелям сайтов и ftp.

Если Вы только удалите перечисленные файлы, не приняв мер к устранению причин взлома, угроза для Ваших данных  сохранится.

 

 

вместе с этим файлом в корне валялись файлы с названиями вида: 

ejmhsbh.php

rmbylaw.php

uiqvwcx.php

fmeudil.php

tpcolyc.php

vnlgrym.php

 

 

Я посмотрел в бекапы - там эти файлы так же присутствовали. Я подумал. что проблема связана с вредоносным кодом, который был внедрен в файл response.php (его я заменил на оригинальный с неделю назад). Файлы удалил, пароли не менял.

в тот же момент проверил все файлы на сайте на наличие процедуры base64_decode ничего подозрительного не углядел.

Пару дней следил за файлами в корне - ничего левого не появлялось.

К слову, когда был левый response.php сайт очень долго грузился, секунд 10 ждал чего-то, потом шустро выплевывал данные. Когда файл заменили - стало все работать хорошо, проблем не было, переадресаций тоже, да и антивирусы вроде не ругались. 

Сегодня обнаружил опять какой-то левый файл в корне. К сожалению просто удалил, забыл сохранить, тобы показать, но старые файлы остались, ниже исходные коды. 

 

Пароль на админку и фтп поменял. 

 

Вопросов парочку, очевидных.

1. что это такое? что оно делает? 

2. что сделать, чтобы его больше не было =)

 

PS примерно в тоже время ставил vqmod и модуль для поддержки мобильной версии сайта (работает череp vqmod).

vqmod и модуль пока не удалял, но в папке xml присутствует только оригинальный  vqmod_opencart.xml другие xml переименованы в *.xml_

ejmhsbh.php

fmeudil.php

rmbylaw.php

tpcolyc.php

uiqvwcx.php

vnlgrym.php

index_backup.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
afwollis    1 091

2. что сделать, чтобы его больше не было =)

 

купить новый фотоаппарат, а то по этим фотографиям гадание затруднено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Doost    1

2. что сделать, чтобы его больше не было =)

 

купить новый фотоаппарат, а то по этим фотографиям гадание затруднено.

 

Какая еще информация необходима?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
toporchillo    425

Внутри файлов обфусцированный (нечитаемый код). Что они делают одному кулхацкеру известно. Да и расшифровывать нет смысла. Важнее узнать, в какую дыру они пролезли.

Возможно на сайте вредоносный скрипт. Извне приходит http-запрос на выполнение этого скрипта. А скрипт начинает свое действо. Возможно скрипт был в response.php, а возможно еще где-то лежит.

Посмотрите лог HTTP-запросов (спросите у хостера) и попробуйте выявить подозрительные, с нетипичных IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JohnnyVega    302

Права на файлы и директории проверьте. А то часто стоит везде "три топора", а народ при этом жалуется, что хакают постоянно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Права на файлы и директории проверьте. А то часто стоит везде "три топора", а народ при этом жалуется, что хакают постоянно

это да. упустила на одном из своих сайтов на аккаунте права на папку - придарили 4 htaccess (в каждый сайт положили!!!) с редиректом на другой сайт - а там голая тетька и заплатите нам деньги чтобы перейти куда хотели! спасибо google - оперативно среагировал и прислал мне сообщение что на сайте вредоносный код.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
izkypcka    0

Так, если есть файлы которые не должны быть - смело их удаляйте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу