Jump to content
Search In
  • More options...
Find results that contain...
Find results in...
  • Sign Up

[Решено] Странные файлы в корне сайта


Recommended Posts

Некоторое время тому назад с хостинга прислали письмо следующего содержания:

 

На вашей площадке обнаружены файлы index_backup.php:

%domain_name%/www/index_backup.php

Данные файлы используются злоумышленниками для организации дорвеев и переадресаций с Вашего сайта на сторонние, в том числе нелегальные, ресурсы. Появление такого файла однозначно указывает на то, что Ваш сайт взломан и Ваши данные находятся под угрозой. В данной ситуации рекомендуем Вам тщательно проверить все Ваши сайты на наличие посторонних файлов, обновить версии CMS до актуальных, поменять пароли к административным панелям сайтов и ftp.

Если Вы только удалите перечисленные файлы, не приняв мер к устранению причин взлома, угроза для Ваших данных  сохранится.

 

 

вместе с этим файлом в корне валялись файлы с названиями вида: 

ejmhsbh.php

rmbylaw.php

uiqvwcx.php

fmeudil.php

tpcolyc.php

vnlgrym.php

 

 

Я посмотрел в бекапы - там эти файлы так же присутствовали. Я подумал. что проблема связана с вредоносным кодом, который был внедрен в файл response.php (его я заменил на оригинальный с неделю назад). Файлы удалил, пароли не менял.

в тот же момент проверил все файлы на сайте на наличие процедуры base64_decode ничего подозрительного не углядел.

Пару дней следил за файлами в корне - ничего левого не появлялось.

К слову, когда был левый response.php сайт очень долго грузился, секунд 10 ждал чего-то, потом шустро выплевывал данные. Когда файл заменили - стало все работать хорошо, проблем не было, переадресаций тоже, да и антивирусы вроде не ругались. 

Сегодня обнаружил опять какой-то левый файл в корне. К сожалению просто удалил, забыл сохранить, тобы показать, но старые файлы остались, ниже исходные коды. 

 

Пароль на админку и фтп поменял. 

 

Вопросов парочку, очевидных.

1. что это такое? что оно делает? 

2. что сделать, чтобы его больше не было =)

 

PS примерно в тоже время ставил vqmod и модуль для поддержки мобильной версии сайта (работает череp vqmod).

vqmod и модуль пока не удалял, но в папке xml присутствует только оригинальный  vqmod_opencart.xml другие xml переименованы в *.xml_

ejmhsbh.php

fmeudil.php

rmbylaw.php

tpcolyc.php

uiqvwcx.php

vnlgrym.php

index_backup.php

Link to post
Share on other sites

2. что сделать, чтобы его больше не было =)

 

купить новый фотоаппарат, а то по этим фотографиям гадание затруднено.

Link to post
Share on other sites

2. что сделать, чтобы его больше не было =)

 

купить новый фотоаппарат, а то по этим фотографиям гадание затруднено.

 

Какая еще информация необходима?

Link to post
Share on other sites

Внутри файлов обфусцированный (нечитаемый код). Что они делают одному кулхацкеру известно. Да и расшифровывать нет смысла. Важнее узнать, в какую дыру они пролезли.

Возможно на сайте вредоносный скрипт. Извне приходит http-запрос на выполнение этого скрипта. А скрипт начинает свое действо. Возможно скрипт был в response.php, а возможно еще где-то лежит.

Посмотрите лог HTTP-запросов (спросите у хостера) и попробуйте выявить подозрительные, с нетипичных IP.

Link to post
Share on other sites

Права на файлы и директории проверьте. А то часто стоит везде "три топора", а народ при этом жалуется, что хакают постоянно

  • +1 2
Link to post
Share on other sites
  • 2 months later...

Права на файлы и директории проверьте. А то часто стоит везде "три топора", а народ при этом жалуется, что хакают постоянно

это да. упустила на одном из своих сайтов на аккаунте права на папку - придарили 4 htaccess (в каждый сайт положили!!!) с редиректом на другой сайт - а там голая тетька и заплатите нам деньги чтобы перейти куда хотели! спасибо google - оперативно среагировал и прислал мне сообщение что на сайте вредоносный код.

Link to post
Share on other sites

  • 1 month later...

Так, если есть файлы которые не должны быть - смело их удаляйте.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.