А бы ли взлом?

@illusionX · Регистрация: 07.06.2009

Author24 — интернет-сервис помощи студентам

Всем привет! Не знаю, теория заговора ли это, происки Роскомнадзора в предверии выборов, но заметил очень странную закономерность в поведении хостинга reg.ru и своих сайтов. Буду признателен, если подскажете.

Итак, 11 сентября мне пришло уведомление о том, что на моем хостинге есть n-ое количество зараженных файлов. Перейдя в директории, я обнаружил, что почти в каждом сайте моего хостинга добавились новые файлы с именами 7682583_fox.php и fox.php_9757278, где отличалось только число. Ссылки на эти файл я прикрепляю, может быть это позволит прояснить ситуацию.

[del]
[del]

Некоторые сайты перестали работать так, как надо, а точнее внутренние страницы. С этим ТП мне помогла, внеся директивы в .htaccess. Затем последоватала еще ошибка, так как перестал работать определенный функционал на сайте. На что ТП мне ответила, что нужно удалить следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<FilesMatch ".*\.(phtml|php)$">
Order Allow,Deny
Deny from all
</FilesMatch>
<FilesMatch "(index).php$">
Order Allow,Deny
Allow from all
</FilesMatch>
<FilesMatch "(hi).php$">
Order Allow,Deny
Allow from all
</FilesMatch>
<FilesMatch "(likeyou).php$">
Order Allow,Deny
Allow from all
</FilesMatch>
<FilesMatch "(gogo).php$">
Order Allow,Deny
Allow from all
</FilesMatch>
<FilesMatch "(idb).php$">
Order Allow,Deny
Allow from all
</FilesMatch>
<FilesMatch "(IDBTEAM).php$">
Order Allow,Deny
Allow from all
</FilesMatch>
<FilesMatch "(wp-go).php$">
Order Allow,Deny
Allow from all
</FilesMatch>
<FilesMatch "(css).php$">
Order Allow,Deny
Allow from all
</FilesMatch>

Как мне написали, данные правила могли быть добавлены как со стороны плагинов безопасности, так и из-за взлома сайта. Просканировав внутренней антивирусной проверкой, он выдал мне отчет из 25 вирусов, включая пути к тем файлам, на которые я выше оставил ссылки:
Вирус Shell.Mar /var/www/u0538160/data/www/site.ru/4718677_fox.php

Также были и другие, типа: Trojan.Inject.1042, Eval.b64.185, WP.Inject.72 и т.д. CMS почти на всех сайтах - WordPress.

Почему задал этот вопрос - именно с 11 сентября у меня идет просадка по скорости открытия страниц сайта и это показывает Google Search Console (см. приложенный скрин). А скорость загрузки для меня очень важна, так как уже сейчас Google начал понижать мои сайты в выдаче. Боюсь, что совсем улечу.

Отсюда возник вопрос - с чем это могло быть связано и в какую сторону копать - действительно ли у меня вирусы и их надо лечить, reg.ru выдал желаемое за действительное с его анализом или же это Роскомнадзор балуется с Google, и между двумя этими событиями (вирусами на сайте и долгая загрузка страниц моего сайта) нет никакой связи? Буду признателен за любые идеи. Спасибо

@gogolik · 15.09.2021, 08:41

А сами файлы-то вы пробовали открывать? Там черным по белому понятно, что это вредоносный код. Хотя бы по title документа.

Вычищайте всю дрянь со всех сайтов. Сами сайты настоятельно рекомендую изолировать друг от друга (у некоторых хостеров есть такая функция).

@illusionX · 18.09.2021, 15:20 **[ТС]**

Добрый день. Да, спасибо. В результате это вирус https://developers.google.com/... yword_hack

Новые блоги и статьи Все статьи Все блоги /
Winforstrap или красявый дизайн своими руками на HTML+JS+Winforms anomal6 04.03.2025 Сидел тут вечером ковырял проект на MAUI, и как же глупо создаются пакеты MSIX и система обновлений пакета публикации, но не об этом. Бывает нужен современный дизайн программы а писать на MAUI,. . .	Формат данных для симуляции физики, посредством распространённых не обученных моделей. Hrethgir 04.03.2025 Что-то как-то снова потерялось, зато катангенсы закатангесились в одном сообщении. На днях писал, что планирую для работы апгрейдить (на этот раз удачно) девайс для работы (конкретно - здоровья для,. . .	Концепция variadic CoderHuligan 04.03.2025 Мне не очень нравится (а кому это нравится?) что у нас есть отдельно компилятор, отдельно линковщик, причем со своим собственным командным языком. При этом усложнении надо знать помимо языка. . .	Java Record или Kotlin Data Class: что лучше для неизменяемых данных Wired 04.03.2025 Java Record и Kotlin Data Class — два мощных инструмента для обуздания неизменяемых структур данных, каждый со своим уникальным подходом к решению этой задачи. История их появления весьма. . .	Создание производительных API с Java и gRPC Wired 04.03.2025 В мире микросервисной разработки вопрос производительности часто становится краеугольным камнем. И хотя REST API давно завоевал сердца разработчиков своей простотой и интуитивностью, при высоких. . .
Что нового в JDK 24 Wired 04.03.2025 JDK 24 — это настоящий прорыв в эволюции Java, который кардинально меняет правила игры. В этом релизе разработчики Oracle наконец-то довели до ума множество критически важных улучшений в. . .	Разработка блокчейн с использованием Java: смарт-контракты и dApp Wired 04.03.2025 Погружаясь в мир блокчейн-разработки на Java, разработчик получает доступ к внушительному арсеналу инструментов. В отличие от Solidity, который "заперт" в экосистеме Ethereum, Java предоставляет. . .	WebAssembly в Kubernetes stackOverflow 03.03.2025 В современной экосистеме облачных технологий WebAssembly (Wasm) становится все более значимым компонентом, предлагая уникальный подход к выполнению кода в распределенных системах. Эта технология. . .	GitHub Actions или Jenkins: Выбираем CI/CD платформу stackOverflow 03.03.2025 Непрерывная интеграция и развертывание (CI/ CD) изменили подход к разработке программного обеспечения, превратив его в бесшовный процесс от написания кода до развертывания в продакшн. GitHub Actions и. . .	Автоматизация тестирования Pull Request в Kubernetes: Интеграция с GitHub Actions и GKE stackOverflow 03.03.2025 Масштабные проекты с использованием Kubernetes требуют надежной системы тестирования изменений перед их внедрением в продакшн-среду. Традиционный подход с ручной проверкой Pull Request не справляется. . .

@gogolik Супер-модератор 2859 / 1908 / 814 Регистрация: 13.03.2010 Сообщений: 6,276
	15.09.2021, 08:41	2
	Сообщение было отмечено gogolik как решение Решение А сами файлы-то вы пробовали открывать? Там черным по белому понятно, что это вредоносный код. Хотя бы по title документа. Вычищайте всю дрянь со всех сайтов. Сами сайты настоятельно рекомендую изолировать друг от друга (у некоторых хостеров есть такая функция). 1

@illusionX 8 / 8 / 0 Регистрация: 07.06.2009 Сообщений: 178
	18.09.2021, 15:20 [ТС]	3
	Добрый день. Да, спасибо. В результате это вирус https://developers.google.com/... yword_hack 1

А бы ли взлом?

Решение