[Помогите] разобраться с проблемой

Тема в разделе "OpenCart", создана пользователем thvanx, 24 мар 2016.

  1. thvanx

    thvanx

    Регистрация:
    20 июл 2014
    Сообщения:
    9
    Симпатии:
    0
    Здравствуйте. Вот уже который месяц наблюдаю такую проблему. На сайте в корневом каталоге периодически появляются(создаются) каталоги с двумя файлами (.htaccess и index.php). Содержимое создающихся файлов смотрите под спойлером.
    Удаляю их, через две-три недели появляется снова, в другом каталоге, например в каталоге image/ или в каталоге vqmod. Вебмастер Яндекса показывает вот такие ошибочные ссылки на сайте (Фото под спойлером)
    Действия мои которые не дали результатов:
    1. Поменял пароль на хостинге и доступы по FTP.
    2. Поменял пароль БД сайта.
    3. Поменял пароль админки opencart.
    4. Настроил двух этапный вход в админку opencart.
    5. Запретил доступ к папке downlad.
    6. Поменял адрес админки.

    Как побороться и что это такое...? Червь..?

    Если нужно предоставить еще информацию, сообщите постараюсь предоставить.
    Заранее благодарю за любую ценную информацию.



     
  2. cereberlum

    cereberlum

    Регистрация:
    26 май 2013
    Сообщения:
    740
    Симпатии:
    266
    Ну в общем-то все указывает на то, что тебя взломали, проверь сайт скриптом "Айболит" в параноидальном режиме (инфу найдешь по нему в сети) . Кроме того, смотри когда появляются эти каталоги и шерсти логи сервера, особое внимание на запросы post - обычно через них льют всякую чепуху. Кроме того, если на аккаунте несколько сайтов, то надо понимать что залезать могут и через соседей.
     
  3. Dotrox

    Dotrox Команда форума

    Регистрация:
    27 ноя 2012
    Сообщения:
    2.038
    Симпатии:
    774
    Если это червь, то им заражён сервер и кроме хостера с этим никто ничего не сделает.
    Но это, скорее всего, просто результат наличия бекдора, через который кто-то и заливает периодически эти файлы (вполне возможно, что в автоматическом режиме).

    В общем, просто удалить эти файлы мало, надо ещё найти бекдор и удалить его и вполне возможно, что он лежит в нескольких копиях в разных местах.
    Для начала попробуйте поискать поиском по файлам вхождения eval и base64_decode.