Как могли взломать сайт?

Question

[Алексей Тутубалин]

После проверки двух сайтов антивирусом в dle 13.1 обнаружилось два изменённых файлов /engine/classes/min/lib/JSMinify.php и engine/modules/functions.php
Так же система ругалась на отсутствующий файл /engine/data/.htaccess
А в логах обнаружено успешный запуск файла(при проверке файл не обнаружен) /engine/license.php?start с ip 37.140.192.92
как умудрились удалить файл?
Листинги

engine/modules/functions.php

https://yadi.sk/d/t7jkJq1tPCqZCA

/engine/classes/min/lib/JSMinify.php

https://yadi.sk/d/tB0P-HUOCC6YcA

Comments

[stratosmi]

Может кто нибудь дать оригинальные файлы?

Ты вот серьезно?
У анонимусов ни за что не отвечающих просишь файл, который установишь в свою систему.
Майнера хочешь?

[Алексей Тутубалин]

stratosmi, Согласен косяк поправил

Answer 1

[Boris Köln]

Измененные и запущенные файлы - это уже следствие, когда хакер получил доступ. Это уже никому не интересно.

А причину надо искать в другом. Обычно вирус на вашем компе (и кража пароля от ftp), перехват пароля (например, если ftp, а не sftp с публичными/приватными ключами), подбор пароля, SQL-инъекция, отсутствие валидации вводимых данных и загружаемых файлов, неправильная настройка веб-сервера и пр.

Answer 2

[Михаил Есенин]

Самые частые варианты:
1. Украдены логин/пароль из FTP-клиента/из браузера, затем прямой доступ использовали для изменения кода
2. Заливка шелла на сайт через формы с недостаточной фильтрацией
3. Заражённый модуль/обновление
4. Другие уязвимости сайта (например, SQL-инъекция)