Уважаемые форумчане. Взломали новый сайт, наставили ссылок. В связи с чем возникает 2 вопроса: 1. Как их найти на сайте (может все скопировать, и спомощью какой либо программы проанализировать весь код). Ссылки след: http://sex-porn-video.ru/online/468...shey-sestroy-v-spalne-na-skrytuyu-kameru.html http://vipitheti.net/lainaa-1000/ http://www.yeshlek-gazeta.ru http://www.teplo51.ru http://www.pechati-srochno.ru http://www.q-cargo.ru/services.html http://www.baby.ru/blogs/post/214826454-138258681/ http://www.baby.ru/blogs/post/15437324/ http://dostavka-gaza-v-dom.ru/ http://www.baby.ru/blogs/post/375403261-342856492/?event=651523436 http://www.baby.ru/names/description/5259159/ http://fc-psg.ru/futbol/ http://www.baby.ru/community/view/126291/forum/post/10885227/ http://www.baby.ru/blogs/post/248169205-86330556/ http://deshevokovka.ru/kovanyie-besedki/ http://www.biglion.ru/review/restorany/bada_bing/ http://omsk.biglion.ru/review/teatry/pyatyi_teatr_omskiy_gosudarstvennyi_kamernyi/ http://rosy-blues.ru/ http://belkaistrelka.com.ua/koshki/cats-lakomstva http://www.shaum.ru/show.aspx?id=62 http://orabote55.ru/ https://metrika.yandex.ru/stat/?id=21170962&from=informer 2. Поставить дополнительную защиту. Решил последовать этим советам: http://webprovincia.com/opencart/zashhita-opencart.html НО! У меня файл config.php совершенно другой.... <?php // HTTP define('HTTP_SERVER', 'http://www.benkoni.com/'); // HTTPS define('HTTPS_SERVER', 'http://www.benkoni.com/'); // DIR define('DIR_APPLICATION', '/var/www/vhosts/benkoni.com/httpdocs/catalog/'); define('DIR_SYSTEM', '/var/www/vhosts/benkoni.com/httpdocs/system/'); define('DIR_DATABASE', '/var/www/vhosts/benkoni.com/httpdocs/system/database/'); define('DIR_LANGUAGE', '/var/www/vhosts/benkoni.com/httpdocs/catalog/language/'); define('DIR_TEMPLATE', '/var/www/vhosts/benkoni.com/httpdocs/catalog/view/theme/'); define('DIR_CONFIG', '/var/www/vhosts/benkoni.com/httpdocs/system/config/'); define('DIR_IMAGE', '/var/www/vhosts/benkoni.com/httpdocs/image/'); define('DIR_CACHE', '/var/www/vhosts/benkoni.com/httpdocs/system/cache/'); define('DIR_DOWNLOAD', '/var/www/vhosts/benkoni.com/httpdocs/download/'); define('DIR_LOGS', '/var/www/vhosts/benkoni.com/httpdocs/system/logs/'); Тут админа совсем нету.... Не могу понять как папку переименовать и куда внести изминения
1) мало вероятно, что вы по поиску найдёте эти ссылки, скорей всего они покодированны, да и найти их в коде лишь часть задачи, главное найти чем они создались 2) админа у вас нету потому что вы открыли конфиг паблика, зайдите в admin и там тоже такой же файлик будет) 3) палить путь серверного окружения, ну по меньшей мере глупо)
конфиг по какому пути открыли? по /var/www/vhosts/benkoni.com/httpdocs/admin/config.php или /var/www/vhosts/benkoni.com/httpdocs/config.php и какая вообще у вас версия движка-то?
Ссылки оказались зашифрованы. Есть предложения как их найти? И самое важно где брешь в защите? Еще вот тут не могу права сбросить. Пароль по фтп поменял. https://yadi.sk/i/tUE1Hbp7iAGG2 Поднял файлы footer, home, header в них кода yandex-verification тупо нет.... Ссылки убрал. Заменил фалый шаблона на исходные (завтра футер поправлю). Вопрос - как взломали сайт остается открытым... МОжет что то еще имеет смысл поставить? Самое интересное. Сбросил права в яндекс вебмастере, они подтвердились заново (на скриншоте видно). Зашел в яндекс вебмастер через пару минут (фалы еще не менял), пользователя уже нет...
Поищите поиском по файлам call_user_func, base64, eval. Ещё можно поискать curl и file_get_contents. Эти функции должны выдать код, который вставляет ссылки. Только учтите, что они могут быть и не во вредоносном коде тоже, так что не удаляйте бездумно всё, где найдутся вхождения этих слов. В каком-то из модулей мог быть бекдор. Если есть vQmod модули, то даже бекдор не нужен, такой модуль может сам полностью автоматически не только натыкать ссылок куда угодно, но ещё и обновлять их периодически Используйте верификацию через DNS запись, это значительно надёжнее.
