Проснувшись однажды утром ипробежавшись по своим проектам я заметил, что посещаемость немного упала, позиции снизились, а 1 сайт вообще не загружался. Полез на ФТП, в админку и в базу. Иобнаружил непонятный файд license.txt в корне всех моих проектов, на одном из хостинг аккаунтов. А затем я увидел это файл в корне всех своих сайтов. Закрались странные подозрения.

В самом файле был какой-то код или хеш, разбираться я не стал. Как выяснилось позже заражены были все сайты, кроме 3 на wordpress, и то я думаю потому что там лежат файлы license.txt от самого движка. Либо у хакера не хватило ума заражать файлы в UTF кодировке. Но суть не в этом.

Я начал открывать все файлы PHP и о чудо! Обнаружил в начале ВСЕХ PHP файлов неизвестнымй мне доселе код.

<?php

$md5 = "1e9619967fab8ca00c9073a6e4a23cea";
$wp_salt = array('d',"n",'g','s','l',"4",'i',"v",'$',"_","o",'e',"f","z","b",';','t',"c","a","(","r",')','6');
$wp_add_filter = create_function('$'.'v',$wp_salt[11..многатакогомассива;
$wp_add_filter('FZlHEqtIAkS.. многабукаф');
?>

Было окончательно понятно, что кто-то меня поимел. Поискав по фрагменту кода это чудо текст я наткнулся на пару мессаг на форумах от народа с аналогичными проблемами. Этот чудесный код, как оказалось зарабатывал бабло ребятам. Размещался на каждой странице блок с ссылками  на раскручиваемые ими сайты. Юзер зашедший на сайт видел обычный сайт а вот гуглобот видел следующее.

 

Чтобы узнать, как видит ваши страницы поисковый робот, необходимо добавить сайт в панель вебмастера от Google:
https://www.google.com/webmasters/tools/home?hl=ru

Там заходим в панель управления сайтом. Диагностика -> Просмотреть как Googlebot. Вписываем адрес интересующей страницы (можно оставить поле пустым, чтобы увидеть главную) и жмем "Получить содержание". После этого нужно дождаться, когда Статус получения станет "Успешно". Теперь страницу можно посмотреть, нажав на статус. Если вы видите в коде кучу левых ссылок, значит, ваш сайт действительно взломан.

Огромный массив ссылок в конце каждой страницы привратили мой сайт в ссылкопомойку, за это дело я еще из под фильтров не вышел, хотя код и недели не провисел. Бекапы не помогли, так как были все уже заражены, пришлось вылизывать каждый сайт ручками, заодно и пообновлял везде движки и версии форумов. 2 дня ебли и все пхп были вычищены.

Также эти  упыри не стесняясь заливали ко мне на хостинг свои шеллы и файлы с ссылками.

Всё это говнецо также было вычищено, а место размещения этого говнеца указало мне на источник взлома. Дорогой висивиг редактор SPAW. Которым я пользоваться больше не буду никогда. Сначала грешил на фтп, но в логах все было чисто.

Шеллы были зашифрованы таким же образом, как и все мои куски вирусного кода.

3 дня, пока полет нормальный, включил полное логирование, чтобы вычислить ублюдка.