Неизвестный скрипт клонирует директорию сайта

аватар: AnthonySoprano
Звание: Советник
Сообщений: 933

Привет, ребят. Надеюсь, кто-то сталкивался с подобным.

28 апреля были проблемы с доступностью моего ]]>сайта]]>, с того же дня он не доступен. Сейчас по адресу светится надпись, гласящая, что аккаунт отключен администратором. Так и есть: было решено выключить мой аккаунт в связи с какими-то странными событиями, происходящими в директории сайта без чьего-либо ведома. Зато от моего имени! Мы встретились с моим админом в онлайне (знакомый), он мне прислал скриншот из htop, с отображением моей нагрузки на ЦП (я вырезал кусочек):

ЦП висел на 60%, в среднем. Нагрузка стала возрастать из-за того, что какой-то скрипт начал копировать директорию сайта в саму себя. Т.е. в корне сайта (папка на сервере /bur-it.ru) создаётся такая же папка /bur-it.ru/bur-it.ru, куда копируется весь сайт. А там внутри создаётся ещё /bur-it.ru/bur-it.ru/bur-it.ru и уже туда делается копия копии сайта. Ну, а дальше вы поняли. Работала эта штука весь день и нещадно грузила сервак.

Развернул у себя на XAMMP'е свой сайт. Никакой нагрузки нет, ничего подобного не случилось.
Вопросы:
1) В подобном случае греть сервер должен httpd? Зависит ли это от серверной ОС? Т.е., на винде не работает (поэтому я у себя нагрузки такой не испытал), а на никсах скрипт выполняется...
2) Хостер или я накосячил?
3) В связи с этим, что теперь делать?

__________________

]]>anthonyaxenov.ru]]>

аватар: Corvus
Звание: Мастер
Сообщений: 1056

3. искать злополучный скрипт, смотреть логи, какой скрипт пахал, может нашли дыру в скрипте и его и заюзали, ищите непхп файлы... что ж....сравните ДО и ПОСЛЕ, вдруг что залили

__________________

EVE ONLINE

аватар: AnthonySoprano
Звание: Советник
Сообщений: 933

Кстати, сайт на Wordpress 3.9 (последней версии).
Corvus написал(а):

сравните ДО и ПОСЛЕ

Каждый файл, чтоли? Oo

Не-PHP файлов нет, это 100%. JS-ки вроде чисты, по крайней мере, VirusTotal'ом их поштучно проверил. Хотя я и сам сомневаюсь в наличии чего-то откровенно зловредного. Может оказаться и вполне адекватный код, который молча делает своё дело. Но искать его в over100500 файлах... Единственный выход?

Залили, т.е. кто-то извне? Я в последний раз сам что-то заливал на сервак даже не помню когда, и то там были графические файлы...

__________________

]]>anthonyaxenov.ru]]>

аватар: Corvus
Звание: Мастер
Сообщений: 1056

проверьте крон, вдруг что то неправильно создалось вот и копирует..а проверьте диффом

__________________

EVE ONLINE

аватар: AnthonySoprano
Звание: Советник
Сообщений: 933

Corvus написал(а):

а проверьте диффом

У меня нет доступа к серверу. Наверное, это что-то усложняет. Всё, что имею сейчас на руках — дамп БД и директории сайта, с логами и чем-то ещё сопроводительным. Вкатил это всё в XAMPP и шатко-валко всё работает.

КРон могу посмотреть только в БД вордпресса, и там вроде ничего подозрительного нет.

__________________

]]>anthonyaxenov.ru]]>

аватар: Corvus
Звание: Мастер
Сообщений: 1056

Смотри на изменения еще, на последнее изменение файла

__________________

EVE ONLINE

аватар: jimmyjonezz
Звание: Мастер
Сообщений: 2470

Нисколько не удивлен таким поведением сайта. Вордпресс - дырявое корыто и все уже дааавно начали бежать от него.

__________________

welcome to stravaganza.ru

аватар: AnthonySoprano
Звание: Советник
Сообщений: 933

Актуально.

__________________

]]>anthonyaxenov.ru]]>