13 января 2016 в 18:49
Человек сказал что сайт медленно открывается, ну я зашел глянуть что как. Пока не залогинился под админом - все ок. Под админской учеткой ужасно тормозит. Открыл состояние сети и запросов, при каждом обращении к любой админ странице сайт запрашивает скрипт с 89.161.135.84 - imprezy.home.pl/js/jquery.min.php - и это выливается в 6-14 секундную задержку. Айпишник я забанил, и на всякий случай внес в deny его, и еще другие которые засветились в логах, в htaccess.
Сегодня решил продолжить разбирательство и обнаружил что тактика изменилась, запрос точно такой же, с той же структурой, но с другого адреса, теперь это 93.185.104.27 - hejda-geometr.cz, но уже не дожидается получения, а просто висит в фоне
Сразу хочу сказать что сайт с устаревшим друпалом 7.23, пока обновить нельзя. НО, на том же хостинге лежит совершенно новая установленная система с тем же симптомами (7.41) - при активном админе обращение за файлом
Просмотрел файлы на предмет изменений - не заметил ничего странного, в htaccess тоже, в index.php все как должно быть, в файле темы тоже
Подскажите с какой стороны начать поиск
Комментарии
Поставьте модуль hacked - он покажет модифицированные файлы
Раз затронута только админка - посмотрите tpl файлы темы админки и файл /modules/system/html.tpl.php
7.23... Посмотрите новых админов.
Тогда тяжко лечить, бо опять сломают.
Спасибо всем за ответы, пока искал файлы тоже наткнулся на hacked, действительно был перезаписан админский шаблон, в нём скрипт который делал запрос на тот адрес в зоне .CZ. В файле /includes/bootstrap.inc был бекдор с паролем. Еще был пропатчен database.inc видимо что бы другие не воспользовались дырой.
Админов новых не создавалось.
Вопрос в том как на систему с 7.41 тоже самое попало, т.к. суть в том, что заражены все сайты под этим хост аккаунтом (hostgator), но они все разделены разными аккаунтами с разными паролями. Проверил другие хосты там все ок, в т.ч. на впсках, собственных сайтах
п.с. Если кому интересно посмотреть исходники бекдора и скрипта могу скинуть для анализа