Неудаляемые вирусные файлы

and2005
На сайте с 21.05.2005
Offline
171
1227

Всем добрый день!

Взломали 2 сайта на MODx. По разным папкам cms накидали вирусов и шеллов. Удаляю их.

Но в папке assets/cache они сразу восстанавливаются. Достаточно перейти ftp клиентом в другую директорию и вернуться, они снова здесь.

Может кто подскажет, откуда у них могут ноги расти?

Оптимизайка
На сайте с 11.03.2012
Offline
396
#1

and2005, скорее всего по крону восстанавливаются. Проверьте crontab'ы пользователей:

for user in $(cut -f1 -d: /etc/passwd); do crontab -u $user -l; done

Если будет что подозрительное, то:

su пользователь

crontab -e

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
A0
На сайте с 30.06.2015
Offline
38
#2

Ещё вариант: где-то есть инъект в файлах сайтах. Стоит пользователю войти на сайт, он дергает код, который проверяет присутствие файлов и восстанавливает их, если их нет.

В качестве временного фикса можете сами создать эти файлы пустыми и выставить запрещающие права. Вирус не сможет их пересоздать.

Если есть доступ к логам, смотрите в логах, кто их создает.

and2005
На сайте с 21.05.2005
Offline
171
#3

Спасибо, буду разбираться

SeVlad
На сайте с 03.11.2008
Offline
1609
#4
and2005:
Спасибо, буду разбираться

Для начала нужно закрыть доступ к сайту для всех, кроме себя.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
S
На сайте с 30.09.2016
Offline
469
#5
Aleks001:
Стоит пользователю войти на сайт, он дергает код, который проверяет присутствие файлов и восстанавливает их, если их нет.
...
Если есть доступ к логам, смотрите в логах, кто их создает.

Из первой части вытекает ответ на вторую часть: их создаёт сам сайт (точнее, юзер, с правами которого работает веб-сервер).

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
WebGomel
На сайте с 29.10.2011
Offline
78
#6

Если я не ошибаюсь, то в папке assets/cache в MODx лежат файлы, которые MODx генерит из базы данных.

Соответственно, если прописать вредоносный код в базу, то он и будет автоматом попадать в эти файлы. Так что стоит проверить такой вариант.

Удалённый системный администратор ( https://remadmin.com )
and2005
На сайте с 21.05.2005
Offline
171
#7
WebGomel:
Если я не ошибаюсь, то в папке assets/cache в MODx лежат файлы, которые MODx генерит из базы данных.
Соответственно, если прописать вредоносный код в базу, то он и будет автоматом попадать в эти файлы. Так что стоит проверить такой вариант.

Сейчас вроде бы не появляются, Айболит не находит, и никаких проявлений зараженности не замечаю.

Надеюсь, что дело не в базе, а в каком-то файле, который удалил.

S
На сайте с 30.09.2016
Offline
469
#8

Надо было ещё и причину взлома найти. На всякий случай проверьте, пишутся ли логи на сервере. Понадобятся, когда в следующий раз взломают.

LiteCat
На сайте с 03.05.2007
Offline
240
#9

Посмотрите под каким юзером созданы, будет первый ключ к разгадке, что сломали

and2005
На сайте с 21.05.2005
Offline
171
#10
Sitealert:
Надо было ещё и причину взлома найти. На всякий случай проверьте, пишутся ли логи на сервере. Понадобятся, когда в следующий раз взломают.

Думаю на плагин Ajax Search, в нем как раз недавно была обнаружена уязвимость.

LiteCat:
Посмотрите под каким юзером созданы, будет первый ключ к разгадке, что сломали

Не знаю, можно ли это посмотреть, ведь создавались файлы в системных каталогах cms . Правда, был файл img со вставкой в середине, но я его уже изменил сам.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий