Артём Фомин Опубликовано 4 Февраля 2017 Жалоба Поделиться Опубликовано 4 Февраля 2017 Всем привет. Сегодня пришло сообщение от хостинга, якобы обнаружен вредоносный код. Результат проверки антивируса Maldet: {CAV}Php.Trojan.Webshell-5 : u0141063 : /var/www/u0145813/data/www/forum.sait.ru/ips_kernel/facebook-client/r2btpgf6.php Сам файл прикрепил. Проверка делается ежедневно, однако сравнивая код этого файла с кодом файла из архива недельной давности, отличий никаких нет, код никак не поменялся. Что это за файл и чем чревато его удаление? Заранее признателен всем за подсказку.r2btpgf6.zip Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Артём Фомин Опубликовано 6 Февраля 2017 Автор Жалоба Поделиться Опубликовано 6 Февраля 2017 Походу на этот форум уже мало кто заходит Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 FatCat Опубликовано 6 Февраля 2017 Жалоба Поделиться Опубликовано 6 Февраля 2017 Сильно сомневаюсь, что это файл из дистрибутива движка. И по имени файла, и по содержимому весьма похож на вирус: берет данные из куков или из адресной строки (?XERATUTA=тут_любой_текст) и пишет в файл на диск.Нормальный такой зверек. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Denis Chursinov Опубликовано 11 Февраля 2017 Жалоба Поделиться Опубликовано 11 Февраля 2017 Файл и правда шелл или его помощник. Удалить надо срочно. Перед этим выяснить время создания и посмотреть логи с целью нахождения способа его появления. Хотя, раз он есть в ваших старых архивах, то он там уже давно и логов нет. В дистрибутиве такого файла точно нет. Если злодей догадался сделать обфускацию лично, а не тупо скачал шелл в открытом коде и в том же виде залил на ваш сайт, то никакие антивирусы его не определят. Проверки, хоть ежеминутные, ничего не дадут. Можно контролировать все изменившиеся файлы, но тогда надо быть уверенным, что на старте они все были чистые. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 benix97 Опубликовано 11 Февраля 2017 Жалоба Поделиться Опубликовано 11 Февраля 2017 Артём Фомин, какая у Вас версия движка? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Артём Фомин Опубликовано 1 Марта 2017 Автор Жалоба Поделиться Опубликовано 1 Марта 2017 Артём Фомин, какая у Вас версия движка?3.4.7Файл и правда шелл или его помощник. Удалить надо срочно. Перед этим выяснить время создания и посмотреть логи с целью нахождения способа его появления. Хотя, раз он есть в ваших старых архивах, то он там уже давно и логов нет. В дистрибутиве такого файла точно нет. Если злодей догадался сделать обфускацию лично, а не тупо скачал шелл в открытом коде и в том же виде залил на ваш сайт, то никакие антивирусы его не определят. Проверки, хоть ежеминутные, ничего не дадут. Можно контролировать все изменившиеся файлы, но тогда надо быть уверенным, что на старте они все были чистые.К сожалению удалил не подумав посмотреть даты. Каким образом можно проверить все файлы? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Denis Chursinov Опубликовано 4 Марта 2017 Жалоба Поделиться Опубликовано 4 Марта 2017 Каким образом можно проверить все файлы?Скачать на PC, сравнить с дистрибом, прогнать айболитом. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Вопрос
Артём Фомин
Всем привет.
Сегодня пришло сообщение от хостинга, якобы обнаружен вредоносный код.
Сам файл прикрепил.
Проверка делается ежедневно, однако сравнивая код этого файла с кодом файла из архива недельной давности, отличий никаких нет, код никак не поменялся.
Что это за файл и чем чревато его удаление?
Заранее признателен всем за подсказку.
r2btpgf6.zip
Ссылка на комментарий
Поделиться на других сайтах
6 ответов на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.