Здравствуйте
Были похищены данные от фтп, после чего начались проблемы:
1. Было модифицировано ядро
2. Cозданы разные файлы
3. Добавлены страницы в индекс гугла (Страницы на китайском языке)
Страницы в индекс гугла были добавлены вот такого вот вида:
http://master-na-chas.ru/09U-QXOKDbDA_ya.html
http://master-na-chas.ru/kliningovaya-kompaniya/
http://master-na-chas.ru/f9iLohjCbK5.html
http://master-na-chas.ru/3bIuAgRnQp1.jp
http://master-na-chas.ru/berqFoEoBG0.html
http://master-na-chas.ru/3dcKUPk_End.jp
и т.д.
Вот так вот в поиске это выглядит -https://prnt.sc/t37jwk
Сайт обновил, ядро уже не модифицировано. Файлы были удалены.
Файлы создаются на сайте, каждый день. Причем как правило утром с 5 утра и до 7 утра, где то в этом диапазоне.
Файлы я эти удаляю.
После этого файлы не создаются до следующего дня. Но был случай, что один раз и создались часов в 10.
Файлы эти я вычисляю через bitrix:xscan
Вчера все удалил, сегодня опять файлы создались:
Тут видно время, в которое эти файлы создавались, я вытащил логи сервера за это время, брал все логи, которые происходили в эту минуту
Почти везде присутствует /index.php?xxnew2018_url1, по нему я прошел, файлы никакие не создаются
Ядро больше не модифицировано, через bitrix:xscan выдаются файлы что выше (которые я каждый день удаляю)
Пароли я все поменял.
Внешнего доступа к БД нет.
В кабинет хостинга кроме меня никто не заходит.
Через битрикс тоже я входов кроме меня не вижу.
Но эти файлы каким то образом создаются.
Не могу понять как мне вычислить откуда это идет?
Были похищены данные от фтп, после чего начались проблемы:
1. Было модифицировано ядро
2. Cозданы разные файлы
3. Добавлены страницы в индекс гугла (Страницы на китайском языке)
Страницы в индекс гугла были добавлены вот такого вот вида:
и т.д.
Вот так вот в поиске это выглядит -
Сайт обновил, ядро уже не модифицировано. Файлы были удалены.
Файлы создаются на сайте, каждый день. Причем как правило утром с 5 утра и до 7 утра, где то в этом диапазоне.
Файлы я эти удаляю.
После этого файлы не создаются до следующего дня. Но был случай, что один раз и создались часов в 10.
Файлы эти я вычисляю через bitrix:xscan
Вчера все удалил, сегодня опять файлы создались:
имя | тип опасности | размер | дата модификации | |
---|---|---|---|---|
[650] variable as a function | 2 kb | 20.06.2020 06:38:53 | ||
[615] hidden vars | 37.1 kb | 20.06.2020 06:38:49 | ||
[615] hidden vars | 19 kb | 20.06.2020 06:38:52 | ||
[615] hidden vars | 7.7 kb | 20.06.2020 06:38:52 | ||
[615] hidden vars | 3 kb | 20.06.2020 06:38:53 |
Код |
---|
15.06.2020 master-na-chas.ru 194.156.230.60 - - [15/Jun/2020:11:09:00 +0300] "GET /bitrix/admin/content-post.php HTTP/1.0" 200 358366 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 194.156.230.60 - - [15/Jun/2020:11:09:03 +0300] "GET /bitrix/admin/content-post.php?path=/home/c/cf37431/master-na-chas.ru/public_html HTTP/1.0" 200 16658 "http://master-na-chas.ru/bitrix/admin/content-post.php"; "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 194.156.230.60 - - [15/Jun/2020:11:09:10 +0300] "POST /bitrix/admin/content-post.php?option&path=/home/c/cf37431/master-na-chas.ru/public_html HTTP/1.0" 200 2868 "http://master-na-chas.ru/bitrix/admin/content-post.php?path=/home/c/cf37431/master-na-chas.ru/public...; "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 194.156.230.60 - - [15/Jun/2020:11:09:17 +0300] "POST /bitrix/admin/content-post.php?option&path=/home/c/cf37431/master-na-chas.ru/public_html HTTP/1.0" 200 45652 "http://master-na-chas.ru/bitrix/admin/content-post.php?option&path=/home/c/cf37431/master-na...; "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 194.156.230.60 - - [15/Jun/2020:11:09:19 +0300] "GET /index.php?xxnew2018_url1 HTTP/1.0" 200 290 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 193.106.30.99 - - [15/Jun/2020:20:11:09 +0300] "POST /bitrix/admin/cache.fail.php HTTP/1.0" 200 15 "-" "Mozilla/5.0 (Windows NT 6.1; rv:34.0) Gecko/20100101 Firefox/34.0" 18.06.2020 master-na-chas.ru 5.138.183.184 - - [18/Jun/2020:18:06:20 +0300] "GET /bitrix/admin/update_system_partner_call.php?reqm=sng.secure&sessid=de23ec63ba8cd5849bbb6e82cccc472b&query_type=M&updRand=1 HTTP/1.0" 200 15 "https://master-na-chas.ru/bitrix/admin/update_system_partner.php?lang=ru&addmodule=sng.secur...; "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.106 Safari/537.36" master-na-chas.ru 5.138.183.184 - - [18/Jun/2020:18:06:20 +0300] "GET /bitrix/admin/update_system_partner_call.php?reqm=sng.secure&sessid=de23ec63ba8cd5849bbb6e82cccc472b&query_type=M&updRand=2 HTTP/1.0" 200 35 "https://master-na-chas.ru/bitrix/admin/update_system_partner.php?lang=ru&addmodule=sng.secur...; "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.106 Safari/537.36" 19.06.2020 master-na-chas.ru 103.233.83.251 - - [19/Jun/2020:07:04:01 +0300] "GET /bitrix/admin/content-post.php?path=/home/c/cf37431/master-na-chas.ru/public_html HTTP/1.0" 200 16658 "https://master-na-chas.ru/bitrix/admin/content-post.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 103.233.83.251 - - [19/Jun/2020:07:04:10 +0300] "POST /bitrix/admin/content-post.php?option&path=/home/c/cf37431/master-na-chas.ru/public_html HTTP/1.0" 200 2678 "https://master-na-chas.ru/bitrix/admin/content-post.php?path=/home/c/cf37431/master-na-chas.ru/publi...; "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 103.233.83.251 - - [19/Jun/2020:07:04:14 +0300] "POST /bitrix/admin/content-post.php?option&path=/home/c/cf37431/master-na-chas.ru/public_html HTTP/1.0" 200 45765 "https://master-na-chas.ru/bitrix/admin/content-post.php?option&path=/home/c/cf37431/master-n...; "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 103.233.83.251 - - [19/Jun/2020:07:04:17 +0300] "GET /index.php?xxnew2018_url1 HTTP/1.0" 200 293 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" 20.06.2020 master-na-chas.ru 132.145.86.56 - - [20/Jun/2020:06:38:31 +0300] "POST /bitrix/admin/ups.php HTTP/1.0" 200 264 "https://master-na-chas.ru/bitrix/admin/ups.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 132.145.86.56 - - [20/Jun/2020:06:38:32 +0300] "GET /bitrix/admin/content-post.php HTTP/1.0" 200 359415 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 132.145.86.56 - - [20/Jun/2020:06:38:40 +0300] "GET /bitrix/admin/content-post.php?path=/home/c/cf37431/master-na-chas.ru/public_html HTTP/1.0" 200 16658 "https://master-na-chas.ru/bitrix/admin/content-post.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 132.145.86.56 - - [20/Jun/2020:06:38:45 +0300] "POST /bitrix/admin/content-post.php?option&path=/home/c/cf37431/master-na-chas.ru/public_html HTTP/1.0" 200 2816 "https://master-na-chas.ru/bitrix/admin/content-post.php?path=/home/c/cf37431/master-na-chas.ru/publi...; "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 132.145.86.56 - - [20/Jun/2020:06:38:49 +0300] "POST /bitrix/admin/content-post.php?option&path=/home/c/cf37431/master-na-chas.ru/public_html HTTP/1.0" 200 45652 "https://master-na-chas.ru/bitrix/admin/content-post.php?option&path=/home/c/cf37431/master-n...; "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" master-na-chas.ru 132.145.86.56 - - [20/Jun/2020:06:38:51 +0300] "GET /index.php?xxnew2018_url1 HTTP/1.0" 200 289 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:56.0) Gecko/20100101 Firefox/56.0" |
Ядро больше не модифицировано, через bitrix:xscan выдаются файлы что выше (которые я каждый день удаляю)
Пароли я все поменял.
Внешнего доступа к БД нет.
В кабинет хостинга кроме меня никто не заходит.
Через битрикс тоже я входов кроме меня не вижу.
Но эти файлы каким то образом создаются.
Не могу понять как мне вычислить откуда это идет?