Вирус на сайте (Eval.b64.short)

Аватар пользователя NikolaiT NikolaiT 19 октября 2018 в 0:49

Добрый вечер.

С недавних пор у хостера появилась вкладка "вирусы". Зашел и обомлел: 200 вирусов на сайте.
Счел, что это результат необновления drupal. Обновил. Удалил лишние файлы, заменил пораженные скрипты. И проверка стала выдавать 0 вирусов.
Но счастье длилось недолго.
Недели не прошло, как проверка показала инфицирование 376 файлов index.php вирусом Eval.b64.short.
Т.е. посмотрел: в каждой папке лежит файл index.php размером 3 Кб.

Кто-нибудь сталкивался с подобным вирусом или что делать? Можно конечно вручную удалить все файлы index.php, но, полагаю, вирусы снова появятся.

Комментарии

Аватар пользователя Semantics Semantics 19 октября 2018 в 1:26

Это название врядли о чём-то скажет.

А так, сценарий повторного заражения классичен - либо, что-то не дочистили, либо где-то в базе у вас есть шелл

Аватар пользователя NikolaiT NikolaiT 19 октября 2018 в 21:03

Тогда вопрос на вскидку: у Drupal и у его модулей присутствуют файлы index.php, или только в корне один?

Аватар пользователя gun_dose gun_dose 19 октября 2018 в 21:56
1

Проблема не только в index.php, есть ещё ряд других подброшенных или изменённых файлов. Традиционно лучшее решение: удалить ядро и контрибные модули и темы и перезалить их начисто. Кастомные модули и темы проверить вручную. А затем проверить папку files на наличие файлов с расширением php. В 99% случаев этого достаточно.

Аватар пользователя NikolaiT NikolaiT 19 октября 2018 в 22:49

Почему хостер ничего не предпринимает?

И кстати, Яндекс ни разу не ругался

Аватар пользователя gun_dose gun_dose 19 октября 2018 в 23:00
1

Если вирус не жрёт процессор и не шлёт письма тысячами, то хостер даже не узнает, что что-то не так.

А если Яндекс не ругается - вам просто повезло. Лучше поскорее принять меры, пока васне выкинули из выдачи.

Аватар пользователя ivnish ivnish 19 октября 2018 в 23:12
1

Потому что в данном случае инициатива наказуема. Я много сайтов вылечил и почти у всех были заражены все PHP файлы. По вашей логике хостер должен их удалить. Но вот с вирусом сайт работает, а без файлов он работать не будет.

А то, что сайты заразились, это проблема владельца сайтов, а не хостера