Возможный дубликат:
Мой сервер был взломан в АВАРИИ
Хостинговая компания отправила своему клиенту электронное письмо, и клиент хотел от меня помощи. в сообщении говорится:
Any items listed here which are folders
named with 5 to 7 random letters are are likely FTP account hacks
Checking for known bad files
/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php
Checking for known spam scripts
/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php
/home2/1/public_html/images/rssok4.php
These files are suspicious and should be looked at before deleting
The redirects in these files may not be legitimate.
Often the actual file name will give you an idea if it is legit or not.
If any .htaccess files are listed here, they need to be cleaned.
TimThumb fixes
Thumbs DB fixes
Completed
------------------------
Trackback
------------------------
These results are likely valid files
that have had code added to them so they should be cleaned
rather than removed:
------------------------
.htaccess
------------------------
------------------------
General
------------------------
Started at: Sun Jul 15 15:55:04 MDT 2012
/home2/1/public_html/images/sm6ay7.php
/home2/1/public_html/images/sm5ak0.php
/home2/1/public_html/images/rssok4.php
Completed at: Sun Jul 15 15:55:05 MDT 2012
------------------------
Phish
------------------------
Started at: Sun Jul 15 15:55:05 MDT 2012
Completed at: Sun Jul 15 15:55:05 MDT 2012
------------------------
Base64
------------------------
код выглядит как этот в файлах, упомянутых выше. Я не могу сказать, что делают эти строки кода. Тоже не программист. Поскольку файлы находятся в папке изображений, это кажется подозрительным. посмотрел в, но я не уверен, что у меня WP в качестве CMS.
У меня есть доступ к панели управления веб-сайта, я пытался использовать SSH, не смог, возможно, некоторые конфигурации в панели управления, с которыми мне нужно иметь дело, основная проблема - это спам в нем, для SSH я буду управлять некоторыми кстати глядя на конфиг. файлы.
Параметры конфигурации .htaccess.
IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*
<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>
AuthUserFile /home/1/public_html/_vti_pvt/service.pwd
AuthGroupFile /home/1/public_html/_vti_pvt/service.grp
Я новичок в этом, некоторая помощь будет оценена. об идентификации и правилах превью, если таковые имеются для отладки.
Предоставленный вами файл определенно является почтовым ботом с удаленным запуском. Я быстро отформатировал его, он собирает электронное письмо и отправляет его с помощью mail(). Я не вдавался в подробности, как это работает, но общая идея довольно очевидна. Интересно, что это показало мне синтаксическую ошибку, так что это могло никогда не сработать.
Вам нужно почистить сервер. Я бы порекомендовал вам сделать резервную копию, а затем удалить все файлы и установить все используемые cms с нуля. Вы, вероятно, можете безопасно сохранить базу данных, она могла быть повреждена, но, по крайней мере, оттуда не должен выполняться код. Вам также необходимо восстановить папку с изображениями. Если файлов мало, восстановите те, которые на самом деле являются образами (просто попробуйте их открыть). Очевидно, не восстанавливайте никакие скрипты (заканчивающиеся на .php, .pl, .py, .sh, ...) или исполняемые файлы (без окончания, .exe, .cmd, bat, ...). Обязательно измените все пароли и убедитесь, что они верны.
Вам также необходимо ознакомиться с безопасностью конкретного программного обеспечения, которое они используют. Дыра, вероятно, все еще существует, и ее необходимо исправить, прежде чем у кого-либо из действий по избавлению от вирусов появится шанс на успех.
Моя рекомендация - взять все со стороны хостера, скопировать файлы / дамп db, затем удалить все и сообщить хостеру, что вы очистили учетную запись, чтобы вас не заблокировали. Затем я бы порекомендовал сбросить все пароли на более безопасные минимум 20 случайных символов из этого массива: A-Za-z! @ # $% ^ & * (),. /. Затем, если вы используете WP, установите чистый WP и восстановите БД.
затем тщательно восстановите все, что было упущено, если это не CMS, проверьте каждый файл с помощью некоторых инструментов, например, VirusTotal и т. д., если вы увидите, что файл безопасен, загрузите его на хостинг.