Форум

не спасёт. Там get запрос. /ajax/form.php?form_id=TABLES_SIZE&url=/ajax/js_error.txt
я добавил false в условия

elseif($form_id == 'TABLES_SIZE' && $url_sizes && false):
if($formType == 'CRM' && false) {

а в  error_log_logic.php закомментировал вывод ошибки

правильно понимаю, что наличие файла js_error.txt  — это попытка взлома, но еще не сам взлом сайта?
на проектах появились эти файлы, с попытками создать файлы типа ajax/7909e3e68924.php
и по логам потом попытки обращений к этим файлам, но безуспешные.


анализирую сервер на наличие новых файлов, вроде пока чисто

Я полагаю все эти файловые и sql менеджеры размещенные у меня на сервере в файлах типа  ajax/7909e3e68924.php или  e3e68/index.php в кол-ве  50шт представляют собой "товар". Человек взломал, разместил и продаёт эти доступы в даркнете или просто передал их. А покупатели ссылок, доступов: кто-то порнушные ссылки вставил, чтобы поднять их в поиске или опустить наш сайт в поиск или просто пыль в глаза бросить, чтобы  скачать всю базу и т.д...

вроде обошлось, по логам все запросы к файлам были неудачные,
сканирование сервера новых / свежеизмененных непонятных файлов не выявило (в т.ч. в папке upload, папки с кешем не проверял, сразу снес их)
кроме файла js_error.txt, в который писались ошибки при обращении через error_log_logic.php, но это, если правильно понял, не самое страшное.

по рекомендациям сделал по-максимуму, спасибо:
- закомментировал AddMessage2Log, чтобы вообще блокировать создание js_error.txt
- добавил false к TABLES_SIZE и CRM
- добаил die при попытке вызова file_put_contents и base64_decode
- ну и забанил сетку с нехорошим IP — 45.142.122.46

если кто посоветует, что еще проверить кроме новых / свежеизмененных файлов, буду признателен!