Загадочный код в файлах сайта

GZ
На сайте с 07.12.2012
Offline
59
1840

Пять лет назад сменил хостинг. И со временем начались довольно странные проблемы: в файлах сайта кто-то регулярно вносил правки, нарушая работу сайта. Правка заключалась в том, что в файлах .php появлялся лишний код. Ради интереса я прогнал отредактированные файлы через Dr. Web - он ругался на них наличием различных вирусов. После удаления вредоносного кода все снова работало нормально. Тем не менее, хостер не может предоставить информацию по поводу того, кто и когда правит данные файлы.

Так длилось долгих пять лет. Наиболее уязвимыми файлами всегда являлись index.php. Иногда странный код появлялся в других файлах. При этом, если открыть сайт, я попадал на какой-то сайт robotcaptcha. Загадочные правки начали появляться на всех сайтах, которые я перенес вместе на новый хостинг. На какое-то время подозрительная активность прекращалась. Целых несколько лет я не замечал проблем. Потом загадочная активность снова возобновлялась.

Окончательно я обозлился, когда в течении февраля-марта текущего года правки в данных файлах начали появляться каждый день. И тогда я плюнул и перенес все сайты на новый хостинг, поскольку администраторы старого хостинга так и не смогли мне помочь в решении вопроса. Предварительно я покопался в файлах сайта, просканировал антивирусом, удалил все зараженные файлы и залил все на новых хостинг. Каково же было мое удивление, когда на новом хостинге через месяц после переноса на одном из сайтов снова начали появляться правленные файлы! Получается, файлы сайта где-то заражены и эта зараза не определяется антивирусом.

Код, который появляется в файлах, имеет примерно вот такой формат:

/*a1b2c*/


@include "\цифры\буквы/\цифры\буквы\цифры\буквы/цифры\буквы";

/*a1b2c*/

Как правило, эта гадость расположена в начале файла после

<?php
. Находится это может в разных подпапках сайта. Если в какой-то папке нет файла index.php, но есть файл index.html, то эта зараза переименовывает последний файл, присваивая ему разширение .bak.bak. Получается файл index.html.bak.bak.

Что это вообще такое? Существует ли какой-нибудь антивирус, который позволит просканировать исходные файлы сайта (в форматах php, js и других, имеющих отношение к скриптам) на локальном компьютере и выявить засевшего в файлах трояна или есть какой-нибудь скрипт, который поможет выявить проблему непосредственно среди файлов на сервере? Новый хостер также не замечает подозрительной активности на моем аккаунте, сайт работает нормально, а скрипты сайта не вызывают подозрительного трафика. Я думаю, что при нынешнем уровне безопасности и способах обнаружения вредоносного кода не может быть так, чтобы проблему невозможно было выявить.

LEOnidUKG
На сайте с 25.11.2006
Offline
1553
#1

У вас обычный вирус, Айболитом пройдитесь по файлам.

Какая у вас CMS? WP наверное? Вы её обновляли и её модуля?

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
HM
На сайте с 14.01.2012
Offline
210
#2

https://revisium.com/ai/

пароли не забудьте поменять в вп и базу проверить.

GZ
На сайте с 07.12.2012
Offline
59
#3
LEOnidUKG:
У вас обычный вирус, Айболитом пройдитесь по файлам.

Какая у вас CMS? WP наверное? Вы её обновляли и её модуля?

Один сайт на WP и несколько сайтов - на других CMS. Обидно, что под раздачу попал сайт с платным лицензированным скриптом AVScript, по которому нет внятной русскоязычной документации и теперь восстановить его работу - большой головняк.

S
На сайте с 30.09.2016
Offline
459
#4
GadZZillA:
Так длилось долгих пять лет.

Терпеливый однако. Наверное, плевать на свои сайты и на собственную судьбу.

GadZZillA:
я плюнул и перенес все сайты на новый хостинг, поскольку администраторы старого хостинга так и не смогли мне помочь в решении вопроса.
И администраторы нового хостинга тоже не будут помогать. Потому что это не их забота. Но если зараза будет мешать работе хостинга, то они просто заблокируют аккаунт. 🤣
Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
GZ
На сайте с 07.12.2012
Offline
59
#5

Спасибо за ответы, буду пробовать :)

SV
На сайте с 03.11.2008
Offline
1394
#6
GadZZillA:
и теперь восстановить его работу - большой головняк.

Админы делятся на тех кто уже делает бекап, и тех, кого жизнь ещё не научила.

А самые грамотные не только делают но и проверяют его.

---------- Добавлено 03.04.2019 в 13:11 ----------

GadZZillA:
буду пробовать

Когда напробуешься.. (опять лет через 5?) подумай чтобы обратиться к специалистам. При зоопарке движков и не знании существования айболита может и удаться что-то сделать, но вероятность этого невысока. Зато есть все шансы угробить сайт(ы).

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
GZ
На сайте с 07.12.2012
Offline
59
#7
Sitealert:
Терпеливый однако. Наверное, плевать на свои сайты и на собственную судьбу. И администраторы нового хостинга тоже не будут помогать. Потому что это не их забота. Но если зараза будет мешать работе хостинга, то они просто заблокируют аккаунт. 🤣

Если проблема появлялась раз в один-два месяца, чего переживать? А в период с 16-го по 18-й я вообще не испытывал проблем. В том же 16-м году, кстати, довольно тщательно обновился, удалил много мусора и неиспользуемые плагины. Изначально я думал, что это какой-то скрипт просто работает криво.

А вообще, не буду делать антирекламы, но хостинг, на котором я размещал свои сайты, пользуется весьма плохой репутацией в плане безопасности. Совсем недавно я выяснил, что их IP заблокированы в ряде стран Европы из-за вирусной активности. Все сходится: хостер не знает, что у них вирус засел и не старается решить проблему, а людям сайты блокируют за сомнительную активность. Это подтверждается и тем, что после переноса сайтов на новый хостинг посещаемость выросла примерно втрое.

S
На сайте с 30.09.2016
Offline
459
#8
GadZZillA:
Если проблема появлялась раз в один-два месяца, чего переживать?

Переживать стоит, даже если проблема появилась 1 раз. Потому что это означает не то, что она появилась, а то, что она проявилась. То есть она существует и никуда не исчезнет, пока её не ликвидируют. И проблема эта называется "дыра в безопасности". А накладка заплаток вместо устранения причины приводит к плачевным результатам. И потеря работоспособности одного сайта - не самое худшее последствие такой беспечности.

W0
На сайте с 02.04.2007
Offline
176
#9

Ловил такое на свои сайты лет 5 назад. Скрипт был очень хитрый .cli. Прятался и в .ico и в jpg, php.

Каждый сайт был заражен во многих местах, не удаление хотя бы одного вызова приводило к заражению заново.

Из плюсов было то что у такого сайта очень резко рос ТИЦ. В тот момент исследование показывало что было заражено около 1500 сайтов. Все сайты линковались в сетку и прокачивали домены с игровыми автоматами.

Дыра оказалась в необновляемой версии phpmyadmin. Снес данный скрипт вообще и проблема ушла.

neoks
На сайте с 17.03.2010
Offline
140
#10

GadZZillA, Антивирусы ищут вирусы что бы бороться с последствиями, они не показывают уязвимости cms.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий