Странные запросы от Гугла в журнале доступа

С какого болта ты решил что это гугл? О_о

UPD. Ну и как вариант, ты это наблюдаешь на свежей vpsке.

С какого болта ты решил что это гугл?

Видимо ТС посчитал, что раз сеть принадлежит гуле, то это именно они творят :)

100$ на свежую vps. Мысль раскрою, когда ТС ответит )

1. Гуглбот реальный:

host 66.249.66.87
87.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-87.googlebot.com.

2. Если домен со скриншота настоящий, то вас поломали https://www.google.com/search?q=site:jap.in.ua

Там же можно посмотреть гуглкеш этих страниц.

Итого:

Почему гугл ломится на несуществующие страницы и откуда он их взял?

Потому что их генерит вредоносный скрипт.

Когда я пытаюсь на нее зайти, то мне сервер возвращает 404.

Потому что эти страницы показывают только гуглу или при https://www.google в Referer.

Спасибо за конструктивный и понятный ответ. Все верно, так и есть, сайт взломали. Домен на скрине реальный.

Вчера проверил на вирусы встроенным антивирусом в ISP, удалил найденные вредоносные скрипты. Но, разумеется, антивирус не решил вопроса и они (удаленные мною файлы) все воссоздались буквально за два часа. Т.е. вредоносный код внедрен в сам движок.

Придется сносить сайт. И устанавливать все с чистого листа.

Может быть, дадите какие-то рекомендации, что мне необходимо предпринять в данном случае, кроме переустановки сайта?

На какой cms был сайт?

все воссоздались буквально за два часа.

Пароли не меняли?

Вчера проверил на вирусы встроенным антивирусом в ISP, удалил найденные вредоносные скрипты.

Мертвому припарки.

и они (удаленные мною файлы) все воссоздались буквально за два часа.

Удивительно, прям удивительно как же так? Я ж антивирусом проверил. :)

Придется сносить сайт. И устанавливать все с чистого листа.

Именно.

Может быть, дадите какие-то рекомендации, что мне необходимо предпринять в данном случае, кроме переустановки сайта?

Выяснить как вас поломали. Из бэкапа вы развернете, но «завтра» вы опять будете разворачивать из бэкапа...

Да, практически месяц «отроду» этой VPS.

Мысль раскрою, когда ТС ответит )

Раскройте, буду благодарен за любой совет.

На какой cms был сайт?

Opencart Pro 3 версия

• модуль tecdoc https://tecdoc-cis.com/

Пароли не меняли?

Поменял пароли к БД. Поставил пароль на /admin (htaccess - Require valid-user…)

Этот вредоносный код где-то в файлах самого движка, т.к. буквально сразу все это восстановил. Во всех каталог создал файлы htaccess (пример которого можно увидеть по ссылке в архиве), дописывает свой код в index.php ну и воссоздает свою структуру вновь.

http://kvasdoma.in.ua/virus.zip - здесь скопированные мной файлы до удаления их с сервера. Это те файлы, которые обнаружил антивирус. Они были разбросаны по разным каталогам на сайте.

Да, практически месяц «отроду» этой VPS.

Да хоть 5 минут. Какая нафиг разница для ботов?

Выяснить как вас поломали. Из бэкапа вы развернете, но «завтра» вы опять будете разворачивать из бэкапа…

С чего рекомендуете начать? Поломали, скорее всего более двух недель тому назад. Логи на сервере хранились всего 10 дней.

На сайте были установлены пароли типа admin 123456

отсюда, полагаю, все оно могло и начаться.

p.s. Этот VPS мне передали буквально 7 дней назад и попросили сделать на нем интернет-магазин вот и все. Я его сделал. И он норм. работает. Просто на этом сервере были и другие сайты, в том числе и этот взломаный. Кто был админом до меня и кто создавал сайт jap.in.ua, который оказался взломанным я не знаю. А сейчас я по факту стал не только web-админом мной созданного магазина, но и данного VPS и нужно разгребать то, что имеем.

я на cms Drupal делал, за год не поломали хотя в логах было видно что пытались.

С чего рекомендуете начать?

Ваш сайт, вот вы и выясняйте. Но попробую вангануть, на тему уязвимостей в cms на которой сделан ваш сайт.

На сайте были установлены пароли типа admin 123456
отсюда, полагаю, все оно могло и начаться.

Шикарно!

Просто на этом сервере были и другие сайты

Дайте две.

Развернуть снова из бекапа, смотреть в логи куда стучатся и что шлют.

хотя в логах было видно что пытались.

Пытались именно Drupal или всё подряд? Ставлю на второе, где и вызов всяких *.dll и т.п. :)

ну там был vps от гугла бесплатный на год, linux apache maria php и на drupal сайт(больше ничего не было), в логах самого cms было видно действия из-вне попытки обращения к разным директориям и файлам.

в логах самого cms было видно действия из-вне попытки обращения к разным директориям и файлам.

Я правильно понял, что вы смотрели по логам самой cms? А не web сервера?

Да тут все просто, айпишники не резиновые, вполне может история тянуться с прошлого владельца. Но если подтвержден взлом, это уже другая история.

ну вроде да самого cms вот я сфоткал как тут

А с чего-бы тогда веб-сервер 200 ответ отдавал, если рассмотреть твою теорию?

Ну тогда ещё посмотрите на логи своего вэб сервера, думаю будете ещё больше удивлены :)

Вот уж вообще пофиг. Счас модно все заруливать на файл-маршрутизатор.