Hosting. Hacked By Khanh Cloud

yaroslav.romanenko
5 years old
0

Доброго вечора
Годину тому на моєму сайті index.php був переписаний (додав файл) index.php
Доступ до адмінки у мене по смс, до фтп по IP, налаштування прав доступу до файлів все по рекомендаціям. Нічого більше не можу знайти, дії підозрілі не виявлено. Написав також на форумі розробників CMF але може і тут що підкажуть. Дякую!
_index.php

yaroslav.romanenko
5 years old
0

Хм, також зламані і всі інші мої сайти на аккаунті
Cotonti / Opencart / Wordpress

yaroslav.romanenko
5 years old
0

В одному із сайтів знайшов
Ghost.php


5 years old
1

Данный файл является шел-файл менеджером. Подобные взломы проходят через наличие уязвимости в модулях/темах,шаблонах и т.д. Зачастую злоумышленник просто загружает вредоносный шел скрипт и потом с его помощью уже заражаются все остальные сайты аккаунта. При этом взлом админ части или фтп не проводится.
Вам нужно проанализировать Ваши сайты. Сделать это нужно таким образом :
1. Определяем примерную дату взлома Вашего сайта
2. Идем в раздел Хостинг -- Мои сайты -- Логи сервера (https://www.ukraine.com.ua/faq/gde-mojno-posmotret-logi-servera-logi-ftp.html)
3. Выбираем пункт accsess.log и делаем выборку по запросу "POST"
4. Находим все подозрительные запросы , а также странные имена файлов не свойственные Вашему сайту. Определяем точное время появления такого файла и смотрим запросы с этого адреса за ближайший час/сутки/дни в зависимости от необходимости, опять сделав выборку. Таким методом можем найти первоисточник проблемы.
5. В случае наличия копии которая не была подвержена взлому проводим сравнение текущего состояния с рабочей копией. Устанавливаем все файлы подверженные изменению. Проверяем базу данных на предмет созданных пользователей или иных изменений
6. Удаляем все зараженные , удаляем все недоверенные/устаревшие/взломанные плагины
7. Обновляем движок/модули/темы и т.д до последних актуальных версий
8. Изменяем все данные доступа к базам данных , фтп если они хранились в конфиг файлах сайта

Я бы начал поиски с сайтов на Wordpress, а потом бы перешел к ресурсам на opencart

toxi
5 years old
0

Попробуйте просканировать антивирусом, которые есть в аккаунте.

yaroslav.romanenko
5 years old
0

В логах знайшов запит цього файлу. Почистив все, змінив всі паролі до БД, антивірус нічого не показав. Очікую що буде далі :)

The topic is closed.