Автор Тема: Появился на сайте непонятный файл.  (Прочитано 52 раз)

12 Сентября 2016, 13:23:09
  • Ветеран
  • *****
  • Сообщений: 967
  • Репутация: +5/-0
  • Иногда заглядываю
    • Просмотр профиля
    • Помощь патентообладателям по продаже патентов.
Обнаружил на сайте в корне вот такой файл: мойсайт.ru.html  появился 9.8.2016г.,
внутри вот такой код:
dTlwOWhIdWl6SkptMFlqcjc1N0tMSTRvQXpEV2VJM3JvNGFSakpmdVJuZz0

Что бы это значило?
Не боги горшки обжигают, не зачем им такой хренью заниматься.
12 Сентября 2016, 13:28:53
Ответ #1
  • Ветеран
  • *****
  • Сообщений: 1194
  • Репутация: +28/-1
  • Сообщество PrestaShop
    • Просмотр профиля
Сайт взломан, нужно проверить что там вам добавили. Часто заливают Shell script.
12 Сентября 2016, 13:40:55
Ответ #2
  • Ветеран
  • *****
  • Сообщений: 967
  • Репутация: +5/-0
  • Иногда заглядываю
    • Просмотр профиля
    • Помощь патентообладателям по продаже патентов.
Как найти этот Shell script?
И как найти, что могли залить?
Не боги горшки обжигают, не зачем им такой хренью заниматься.
12 Сентября 2016, 14:13:41
Ответ #3
  • Ветеран
  • *****
  • Сообщений: 1194
  • Репутация: +28/-1
  • Сообщество PrestaShop
    • Просмотр профиля
Найти можно поиском и сравнением с чистой архивной копией.
12 Сентября 2016, 22:44:15
Ответ #4
  • Ветеран
  • *****
  • Сообщений: 967
  • Репутация: +5/-0
  • Иногда заглядываю
    • Просмотр профиля
    • Помощь патентообладателям по продаже патентов.
Если поиском, то чем и что искать?
А если сравнением, то как, если сайт имеет значительные изменения.
Не боги горшки обжигают, не зачем им такой хренью заниматься.
13 Сентября 2016, 08:01:22
Ответ #5
  • Ветеран
  • *****
  • Сообщений: 32991
  • Репутация: +26759/-0
    • Просмотр профиля
Поиском по названию папки и файлов, которые появились, можно поискать. Но шансов не много что найдете. Повторы названий бывают редко.
Так как у вас изменений много, то и сравнивать бесполезно. Вам нужно проверить все папки и файлы, посмотреть как называются файлы в prestashop вашей версии. Во всех файлах, названия которых отличаются, проверять код. 
13 Сентября 2016, 10:53:51
Ответ #6
  • Ветеран
  • *****
  • Сообщений: 967
  • Репутация: +5/-0
  • Иногда заглядываю
    • Просмотр профиля
    • Помощь патентообладателям по продаже патентов.
Новых папок по дате создания не обнаружил,
с файлами сложнее их слишком много.
А предположительно в каких папках надо искать?
Серверный антивирус может что то найти?
Не боги горшки обжигают, не зачем им такой хренью заниматься.
13 Сентября 2016, 10:56:57
Ответ #7
  • Ветеран
  • *****
  • Сообщений: 13135
  • Репутация: +14553/-0
  • Сообщество PrestaShop
    • Просмотр профиля
13 Сентября 2016, 11:00:07
Ответ #8
  • Пользователь
  • **
  • Сообщений: 98
  • Репутация: +2/-0
  • Сообщество PrestaShop
    • Просмотр профиля
Дата изменения файлов не совсем верная проверка на вирусы, да хотя бы потому что
touch -t 201501011230.30 virus.php
(* --[[ /* <!-- {* #  -- ; *} --> */ ]] *)
skype:vlad_stiff
14 Сентября 2016, 02:26:48
Ответ #9
  • Ветеран
  • *****
  • Сообщений: 967
  • Репутация: +5/-0
  • Иногда заглядываю
    • Просмотр профиля
    • Помощь патентообладателям по продаже патентов.
Всем спасибо разыскал.
На одном сайте был изменен файл /translations/es/pdf.php
На другом что то не понятное было в папке simpleslideshow

Все поудалял, повосстанавливал, но есть вопрос,
как в дальнейшем не допускать такой хрени,
и самое главное что это все там делало?
Не боги горшки обжигают, не зачем им такой хренью заниматься.
14 Сентября 2016, 08:16:36
Ответ #10
  • Ветеран
  • *****
  • Сообщений: 2163
  • Репутация: +49/-4
  • Сообщество PrestaShop
    • Просмотр профиля
Вот через simpleslideshow и взломали.
Обновлять нужно, в обновлениях дыры закрывают. Или самому все проверить и исправить.