touch copy.sh
редактируем его
#!/bin/sh
/bin/cp /home/user/file.php /home/user/dir1
/bin/cp /home/user/file.php /home/user/dir2
/bin/cp /home/user/file.php /home/user/dir3
/bin/cp /home/user/file.php /home/user/dir4
/bin/cp /home/user/file.php /home/user/dir5
/bin/cp /home/user/file.php /home/user/dir6
Все пути, кроме /bin/cp естественно свои
Выходим из редактирования
chmod +x copy.sh
./copy.sh
Скопируется во все находящиеся в каталоге директории
.htacess с содержимым в корень сайта
Order Deny,Allow
Deny from 1.2.3.4
Где 1.2.3.4 IP который нужно забанить или же 1.2.3.4/хх если баним по маске сети
Если же все это на выделенном сервере то для iptables
iptables -I INPUT -s 1.2.3.4 -j DROP
для ipfw
ipfw add xx deny ip from 1.2.3.4 to any (где хх - номер правила)
Попробуйте на всякий случай в robots.txt запретить индексацию на ту папку, куда насливали левых скриптов.
Команда из директории где расположен файл:
php file.php > log.txt
Если не из директории где расположен файл то прописываем пути:
php /home/user/file.php > /home/user/log.txt
Заходим в директорию где находится файл и даем команду:
find ./ -name file.php -type f -exec cp -P "{}" ./ ";"
Не забывайте еще простых вещей, если письма должны слаться на почтовый ящик который расположен к примеру на мейле или гугле то очень важно, чтобы для IP адреса с которого они шлются была прописана обратная зона, проверить можно nslookup xxx.xx.xx.xx , вместо иксов соответственно IP адрес, если выдаст что Non-existent domain или что то подобное, то зона не прописана и все ведущие почтовые системы будут эти письма дропать. Для того, чтобы прописать обратную зону для IP обращайтесь к провайдеру.
В первую очередь закройте доступ к сайту на время поисков, к примеру временно замените .htaccess файл в корне сайта файлом с содержимым Deny from all После этого смените все пароли на сайт, панель управления, FTP, коннект на MySQL.
Если хостер предоставляет SSH к аккаунту то зайдя по SSH выполните следующую команду:
find /home/site/www -name '*' | xargs grep 'frgewger.moneyhome.biz'
/home/site/www - заменить на свой путь к корню сайта.
Данная команда пропарсит все файлы включая вложенные папки на данное содержание текста.
Если же доступа по SSH нет то скачайте по FTP целиком весь каталог сайта и воспользуйтесь каким либо парсером для поиска по файлам, к примеру очень удобна программа FindFiles
Эти методы должны помочь найти отредактированный файл.
Далее советую просмотреть файл менеджером или FTP клиентом все папки и файлы сайта и обращать пристальное внимание на дату изменения файлов, далеко не факт, что поставили только редирект и не оставили на сайте шелл или же не оставили еще какую то дырку!
Когда все найдете верните на место .htaccess и смените пароль на админку Джумлы.
Если ничего из вышеперечисленного не помогло значит редирект воткнули через MySQL так как это то же вполне возможно на Джумле, в этом случае через phpmyadmin воспользуйтесь поиском по базе.
Очень надеюсь что что то из перечисленного Вам поможет.
Cisco Guard (XT) до 1 Gb/s атаки фильтрует (2 Gb/s) при расширенной лицензии, все остальное если выше - Drop.
А атаки сейчас куда выше и вообще Cisco Guard железо уже устаревшее. Если смотреть в сторону Cisco ASA, к примеру самую дорогую модель ASA 5585 то эта железка полностью программная, при 0.8 Mpps SYN флуда CPU 100% и железка полностью умирает, не помогает даже ACCESS-LIST в режиме drop any any. Из адекватного железа стоит смотреть в сторону ARBOR или же Juniper не ниже SRX 3600, но цена их будет заоблачной.
