Чистка зараженных сайтов
Доброго! Объясню, насколько понимаю, что происходит....
Столкнулся с проблемой: Сайт на джумле. Похоже где-то засветился или ломанулся FTP-доступ. В директориях сайтов появились левые файлы .php и невероятно много сохраненных страниц .html
Сайты работали медленно, мёртво висели... Тех.поддержка хостинга отписалась:
"Видим с Вашего аккаунта происходит рассылка писем скриптами: https://cp-hosting.jino.ru/statistics/resources/chart/mail/week/2015-12-30/
Вы производите рассылку ? Обратите внимание с данного IP происходит большое количество запросов:
106.186.19.213 - - [30/Dec/2015:05:35:00 +0300] "POST /components/cod.php HTTP/1.0" 200 14
106.186.19.213 - - [30/Dec/2015:05:35:02 +0300] "POST /components/cod.php HTTP/1.0" 200 14
106.186.19.213 - - [30/Dec/2015:05:35:03 +0300] "POST /components/cod.php HTTP/1.0" 200 14
106.186.19.213 - - [30/Dec/2015:05:35:04 +0300] "POST /components/cod.php HTTP/1.0" 200 14
106.186.19.213 - - [30/Dec/2015:05:35:49 +0300] "POST /components/cod.php HTTP/1.0" 200 14
106.186.19.213 - - [30/Dec/2015:05:35:51 +0300] "POST /components/cod.php HTTP/1.0" 200 14
106.186.19.213 - - [30/Dec/2015:05:35:52 +0300] "POST /components/cod.php HTTP/1.0" 200 14
106.186.19.213 - - [30/Dec/2015:05:35:53 +0300] "POST /components/cod.php HTTP/1.0" 200 14 "
Антивирь хостинга после сканирования выдал следующее:
Файлы, на которые ссылался антивирь, вроде были почищены/удалены. По крайней мере очередная проверка ответила:
Рассылка перестала вестись, но кое-что осталось:
А именно, в директории /administrator/components/com_joomlaupdate/controllers появилась папка .X1-unix с содержимым похожим на временные файлы или что-то вроде кэша. До этого она была в /administrator/components/com_akeeba... После ее удаления проходит немного времени и папка появляется вновь. Видно по размеру сайта, который значительно вырос.
Моих знаний не хватит высечь эту дичь! Приветствуется любая помощь ) И за деньги в том числе=)))
P.S. Оплата только Яндексом либо переводом на mastercard/visa