CMS Joomla. атака kgoti4h.zip

mihail-shatniy
8 років
0
хостинг использую собственный потому и спрашиваю встречал кто такое здесь на хостинге и как с ним бороться
присутствует на разных движках joomla opencart owncloud как посмотрел в гугле есть на тысячах сайтов
создает линки на порно сайты
кто что знает подскажите
toxi
8 років
0
Это скорее всего вирус, который проник на сайт через "дырявый" модуль/через дырявую форму загрузки(любую форму)/через админский доступ к сайту(логин и пароль)/через ФТП с зараженного ПК.
Если есть возможность, то найти место заражения, удалить все подозрительные файлы, обновить сайт (CMS/модули) если есть новые версии и если есть возможность. Есть вероятность, что придется удалить все файлы сайта и залить чистые файлы заново
mihail-shatniy
8 років
0
что это вирус это точно, сам создает файлы в частности создает index8.php подменяет index.php и была очень большая нагрузка на сервер пропала только после перезагрузки самого компа. но что удивляет сами сайты не падают, появляюстя линки внешние, еще пробовал перезаливать сайты по очереди но через некоторое время появляется во всех сайтах знач он свободно гуляет по серваку если хоть в одном остался. , и что поражает так это массовость таких зараженных сайтов как мои - тысячи

содается вот такая страничка гдето на сайте /kgoti4h/atach-ka.html

перенабирать вручную видимо прийдется так как не знаю где дыра и на каком движке, хотя не исключено что сам сервер дырявый...
toxi
8 років
0
Возможно взломан и сам сервер.

В этом сообщении:
удалить все подозрительные файлы© toxi
пробовал перезаливать сайты по очереди но через некоторое время появляется во всех сайтах© mihail-shatniy

я имел ввиду то, что удалить вообще все файлы, не заменять, а именно удалить все, что находится в папке с сайтом. При этом не забыть сначала создать резервную копию сайта/файлов и копию базы.
Если у Вас есть доступ к самому серверу либо кто-то из Ваших знакомых администрирует сервер, то обратитесь к ним, чтобы они проверили сервер на предмет взлома.
mihail-shatniy
8 років
0
да я сам его администрирую это на моем домашнем компе, я перезаливал с более ранних бекапов, где этих файлов не было, полностью восстанавливал и базу и файлы, видимо все-таки сам сервер заражен или дырявый. опыт практически нулевой в создании хостинга потому найти кто виноват будет сложно, поставлю все начисто вместе из системой, посмотрим что будет

Спасибо за ответ
rudenko
8 років
0
Могли через уязвимость в CMS закачать эксплоит для операционной системы. Для того, что б этого избежать нужно постоянно обновлять операционную систему.
Переустановка ОС не решит проблему так как после восстановления сайта будет та же проблема. Смотрите дату модификации залитого эксплоита и по логам ищите POST запросы, которые происходили в это же время так найдете место через которое взломали сайт.
Тема закрита.