Периодически добавляют в js файлы редиректы на мобильные подписки.
Удивительно то, что при добавлении дата изменения файла не меняется!!! Права на файл 444. Как они это делают?
Ну дату изменения файла можно сохранить, а потом перезаписать после внесения изменений в файл.
Делают - получив доступ на сервер, очевидно.
Может дыра в шелле, может дыра в CMS (это намного более вероятно), может вы свой пароль где засветили.
awdemme: Я сам весь движок переписал почти, оставил только админ панель. Ито отключил редактор шаблонов и тд. Админку тоже теперь отключил, а он все равно как то поменял файл.
Ayk72: Можно попробовать запретить модификацию файлов в принципе.
Только перед этим все равно нужно пробежаться по всем файлам в поисках зловредов.
Они обычно свой код прячут в длинные строки типа "xd#ksKvm(0LidkSaik" - визуально это можно найти.
Ayk72:
Если есть бэкапы и известно время когда начались проблемы и не было больших модификаций в это время - можно попробовать сличить бэкапы с тем, что сейчас есть.
Ayk72: А еще посмотреть что есть известного про уязвимости в версии, которую вы взяли за основу - в DLE 9.3. Возможно, что можно будет пофиксить вручную аккуратно перенеся фиксы, которые уже сделали разработчики DLE
awdemme: я немного другое имел ввиду. если движок не переписывать, то надо искать и фиксить дыры в нем самом. а когда переписывают, не понятно как, не понятно на что, не понятно с какой квалификацией, тут и возникает куча дыр. что мы и видим на примере выше.
Простой
