Оказалось, что встроили в php файл стартовой точки laravel.
Значит не только джанго чекают, но и ларку.
А в чем может быть такая проблема. Есть папка, написано, что дата изменения этой директории 29 января 2024. Подозрительно, сайт не трогали целый год! Открываю, а там все директории и файлы с датой изменения 2022 года. И как это получается? Что тогда меняли в 2024?! Видимо, это какая-то особенность линукса, потому что в любом фтп клиенте так и в менеджере файлов на хостинге...
В линуксах каждый файл и директория имеют три основных временных метки:
- Время последнего доступа atime – время последнего чтения файла или директории.
- Время последнего изменения mtime – время последнего изменения содержимого файла или директории.
- Время последнего изменения inode ctime – время последнего изменения метаданных файла или директории.
Если все файлы внутри директории имеют дату изменения 2022 года, значит сами файлы не изменялись после этого времени. Однако сама директория могла измениться по причинам, упомянутым выше, что и отразилось на её временных метках.
Просто может по опыту знаете куда чаще всего внедряют, в html разметку или в php файл какой.
Обычно, порядок заражения такой:
1. Простые боты чекают популярные сайты из поисковой выдачи, которые работают на популярных движках.
2. Второй бот заходит уже на конкретные сайты из п1, и если это например wp, то пытается его взломать одни из десятков методов, обычно, через уязвимости в установленных плагинах.
3. Если п2. успешен, то внедряется php код (wp же) в какой то файл, который будет внедрять этот js в html.
Соответственно, самое простое - искать инфицированные файлы по датам их изменения. Подозрительно, если все файлы из определенной директории изменялись ровно месяц назад, а один - сутки назад.
Значит не только джанго чекают, но и ларку.
В линуксах каждый файл и директория имеют три основных временных метки:
- Время последнего доступа atime – время последнего чтения файла или директории.
- Время последнего изменения mtime – время последнего изменения содержимого файла или директории.
- Время последнего изменения inode ctime – время последнего изменения метаданных файла или директории.
Если все файлы внутри директории имеют дату изменения 2022 года, значит сами файлы не изменялись после этого времени. Однако сама директория могла измениться по причинам, упомянутым выше, что и отразилось на её временных метках.