Прошу помогите взламали

[smoky30]

Добрый вечер!, у меня проблема в магазине www.smoky-house.ru , сайт работает уже более 1 года. 

Проблема такая , каждый два-три дня ,кто-то меняет Номер телефона и почту в шапке сайта с 89648844944 на 89053646489 , все удалял пароли везде менял , я не могу не как понять , как эту проблему решить . Прошу помогите кто сможет .

Вот что скинул хостинг : 

Цитата

Цитата

Результат проверки:
SCAN ID: 012617-0017.31938
TIME: Jan 26 00:17:50 +0300
PATH: /home/smoky30/domains/smoky-house.ru
TOTAL FILES: 8250
TOTAL HITS: 7
TOTAL CLEANED: 0

FILE HIT LIST:
{HEX}php.cmdshell.unclassed.365 : /home/smoky30/domains/smoky-house.ru/public_html/admin/language/english/russian.php
{HEX}php.nested.base64.559 : /home/smoky30/domains/smoky-house.ru/public_html/admin/controller/extension/instagram_export.php
{HEX}php.nested.base64.559 : /home/smoky30/domains/smoky-house.ru/public_html/system/library/Instagram/func.php
{HEX}php.nested.base64.559 : /home/smoky30/domains/smoky-house.ru/public_html/system/library/Instagram/Constants.php
{HEX}php.nested.base64.559 : /home/smoky30/domains/smoky-house.ru/public_html/system/library/Instagram/Instagram.php
{HEX}php.cmdshell.unclassed.365 : /home/smoky30/domains/smoky-house.ru/public_html/catalog/controller/payment/moneycash.php
{HEX}php.cmdshell.unclassed.365 : /home/smoky30/domains/smoky-house.ru/public_html/catalog/view/javascript/jquery/superfish/superfish.php
===============================================

 

 

Змінено 25 січня 2017 користувачем smoky30

[SeoManager]

2 часа назад, smoky30 сказал:

Добрый вечер!, у меня проблема в магазине www.smoky-house.ru , сайт работает уже более 1 года. 

Проблема такая , каждый два-три дня ,кто-то меняет Номер телефона и почту в шапке сайта с 89648844944 на 89053646489 , все удалял пароли везде менял , я не могу не как понять , как эту проблему решить . Прошу помогите кто сможет .

Вот что скинул хостинг : 

 

Просмотрите что внутри файлов и вспомните, что вы делали с сайтом до момента появления этой преблемы

Змінено 25 січня 2017 користувачем SeoManager

[Dotrox]

Первый файл в списке точно заражён, потому что в языковом файле ничего подобного быть не может априори. Остальные два, где php.cmdshell.unclassed - вероятно, тоже.

А вот с остальными надо смотреть: base64 там может использоваться просто для кодирования/декодирования данных апи Инстраграм.

[smoky30]

кто поможет , решить проблемы заплачу

[SiteMix]

halfhope занимается лечением. Попробуй ему в личку стукнуть

[halfhope]

20 часов назад, SiteMix сказал:

halfhope занимается лечением. Попробуй ему в личку стукнуть

Спасибо! 

Могу помочь, с гарантией. Пишите в ЛС. Рекомендую ничего не удалять самому, это испортит картину заражения и не получится красивый отчет.