Жил был царь....

[solvo23]

И был у него сад с яблоками, и повадилась какая то с..... обака яблоки топтать

Так и у меня было 4 сайта все на разных CMS

Сначала на сайтах полезли ошибки потом один рухнул, переставил начисто через день снова рухнул

Стал смотреть обнаружил неизвестный мне файл login.php

скачал на комп для таких экспериментов запустил вылезла форма выглядящая как рамочка рядом надпись password

Когда попытался скачать файлы сайта на комп каспер ревел и уничтожал кучу файлов PHP которые не смог вылечить

В общем такое повторилось на всех сайтах 

Пароль у меня наверное в принципе подобрать несложно там всего 64 знака

файлы админки выглядят после пакостей примерно так

http://prntscr.com/aifgkt

http://prntscr.com/aifg93

 

Все модули применяемые мной куплены ни одного бесплатного нет

Что делать и где искать

[markimax]

Видно хостера сломали

[solvo23]

Хостинг я сегодня поменял, там техподдержка тупила много

А вообще как то от этого защищаются?

[Blondy]

Очень похоже на web-shell, если открыть этот login.php то в нем будет и версия шелла, и хэш пароля, восстановить его не проблема, или на свой перебить, и тогда получите доступ к шелу. Зайдя в него, увидите что он умеет - полный доступ к файлам, чего в принципе более чем достаточно. Там уже от версии смотреть надо.
Вопрос в том как он туда попал.
Пароль на хостинг, на FTP не показатель. Интересно какие именно CMS и каких версий используются. Даже если все модули честные и не имеют намеренно встроенных бэкдоров, они все равно имеют потенциальные уязвимости. Нашли одну на одном сайте, автоматом получили доступ ко всем остальным.

пришлите сам login.php, добавлю в коллекцию.

[solvo23]

Сейчас хостеры пришлют мне архивы всех сайтов перешлю

CMS на Maxystore 1.5.5.1

второй на Maxystore 2.0.3.1

Ну и два последних на Opencart Pro