Перейти к содержимому


Заказать ювелирные мужские кольца с камнями на сайте ювелирного магазина.
Фотография

Вирус в дирректории ips_kernel/facebook-client

Форумы IBResource

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 6
Артём Фомин
  • Участники
  • Cообщений: 30

Отправлено

Всем привет.

 

Сегодня пришло сообщение от хостинга, якобы обнаружен вредоносный код.

Результат проверки антивируса Maldet:
{CAV}Php.Trojan.Webshell-5 : u0141063 : /var/www/u0145813/data/www/forum.sait.ru/ips_kernel/facebook-client/r2btpgf6.php

 Сам файл прикрепил.

 

Проверка делается ежедневно, однако сравнивая код этого файла с кодом файла из архива недельной давности, отличий никаких нет, код никак не поменялся.

 

Что это за файл и чем чревато его удаление?

 

Заранее признателен всем за подсказку.

Прикрепленные файлы



Артём Фомин
  • Участники
  • Cообщений: 30

Отправлено

Походу на этот форум уже мало кто заходит



FatCat
  • Клиенты
  • Cообщений: 3 347
  • http://pharm-forum.ru
  • Город:Москва

Отправлено

Сильно сомневаюсь, что это файл из дистрибутива движка. И по имени файла, и по содержимому весьма похож на вирус: берет данные из куков или из адресной строки (?XERATUTA=тут_любой_текст) и пишет в файл на диск.

Нормальный такой зверек.



Denis Chursinov
  • Клиенты
  • Cообщений: 652

Отправлено

Файл и правда шелл или его помощник. Удалить надо срочно. Перед этим выяснить время создания и посмотреть логи с целью нахождения способа его появления. Хотя, раз он есть в ваших старых архивах, то он там уже давно и логов нет. В дистрибутиве такого файла точно нет. Если злодей догадался сделать обфускацию лично, а не тупо скачал шелл в открытом коде и в том же виде залил на ваш сайт, то никакие антивирусы его не определят. Проверки, хоть ежеминутные, ничего не дадут. Можно контролировать все изменившиеся файлы, но тогда надо быть уверенным, что на старте они все были чистые.



benix97
  • Участники
  • Cообщений: 3

Отправлено

Артём Фоминкакая у Вас версия движка?



Артём Фомин
  • Участники
  • Cообщений: 30

Отправлено

Артём Фоминкакая у Вас версия движка?

3.4.7


Файл и правда шелл или его помощник. Удалить надо срочно. Перед этим выяснить время создания и посмотреть логи с целью нахождения способа его появления. Хотя, раз он есть в ваших старых архивах, то он там уже давно и логов нет. В дистрибутиве такого файла точно нет. Если злодей догадался сделать обфускацию лично, а не тупо скачал шелл в открытом коде и в том же виде залил на ваш сайт, то никакие антивирусы его не определят. Проверки, хоть ежеминутные, ничего не дадут. Можно контролировать все изменившиеся файлы, но тогда надо быть уверенным, что на старте они все были чистые.

К сожалению удалил не подумав посмотреть даты. Каким образом можно проверить все файлы?



Denis Chursinov
  • Клиенты
  • Cообщений: 652

Отправлено

Каким образом можно проверить все файлы?

Скачать на PC, сравнить с дистрибом, прогнать айболитом. 






Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных