А Вы от хостинга пароли все меняли? (FTP, SSH и прочие)
Если Вас ломанули то возможно у злоумышленников также есть сведения о базе данных.
Пароли не менялись. Я не думаю,что в них проблема и кто-то целенаправленно заходит и меняет расширение каждый день. С таким доступом можно не только расширение сменить.
>>Я не думаю...
как раз на это они и рассчитывали
>>С таким доступом можно не только расширение сменить.
Скажите пожалуйста что по Вашему должен делать бот имея пароли и явки от сервера?
@navio wrote:Но каким образом это же тело сайта работает на другом месте без ошибок?
Потому, что те, кто сломал сайт, не знают новый адрес сайта. Со временем этот же бот или похожий, найдёт ту же самую дырку и на новом сервере всё начнётся.
Пароли сменил. Посмотрю,что будет завтра. Пока всё работает. Есть ли возможность отследить ,чем именно запускается смена файла?
Провайдер написал у него нет таких инструментов.
Плохо что хостер свинья.
Не пробовали на имеющуюся базу данных накатить новую Magento по принципу установки демо-магазина?
И аккуратненько, перепроверяя перетащить туда медиа файлы.
Просто неизвестно как хорошо все получилось вычистить после взлома.
*Кстати у товарища был случай правда на wordpress тоже с переименованием в php.suspected, техподдержка клялась что нет антивируса, как оказалось стоял ClamAV который это и творил, но естественно не просто так, а из-за дыр. Часто бывает что поддержка не компетентна ну и естественно серверы ставят на ход одни люди, а поддерживают их совершенно другие.
Про Руцентр мало что хорошего говорят. Но я не про них. Проблема снова вернулась,файл переименовался опять.
Достучаться на верхний уровень поддержки вряд ли смогу. Мне предлагают уйти с такого хостинга,а тут как назло оплатил год обслуживания неделю назад.
В общем замкнутый круг. Сменить пароль на БД ?
>>Мне предлагают уйти с такого хостинга
Дырку нужно найти сначала, тоже самое может начаться на новом хостинге
>>Сменить пароль на БД ?
Можно, но толку будет мало пока дыра не закрыта.
1)Перечитав ветку я понял что вы после взлома удалили какое-то приложение и файл в папке скин, и все?
Просто гадость в системных файлах может быть замаскирована.
Кстати взломать могли за долгое время до того как вы заметили непонятки на сайте.
2)Сайт в продакшене?
3)С правами доступа к папкам и файлам все нормально?
4)Много товаров? Сложная структура?
5)Какая версия PHP? В phpinfo в строке Server API что написано?
6)Посте взлома пароли администраторов-пользователей меняли? Левых пользователей не наблюдалось?
7)Путь в админку сменили?
Нет,файлов с таким расширением и странных папок было очень много. Удалял из многих мест,но похоже не везде. Смотрел по дате. Прямо перед взломом сайта появлялись один за одном левые пользователи. Их сносил,но это не помогало. Сейчас стабильно один пользователь ,пароль админки сменил. Сайт уже был готов и всё было нормально,пока в мае не произошёл первый взлом. Заплатки так и не поставил. Структура простая. Версия сервера: 5.6.25-73.1 - Percona Server (GPL), Права доступа к файлам и папкам где можно посмотреть?
>>Прямо перед взломом сайта появлялись один за одном левые пользователи.
Как раз наоборот, они стали появляться после взлома или в результате взлома, как Вам больше нравится. Повторюсь еще раз, ломонуть могли за долго до активизации на сайте разных причуд.
>>Права доступа к файлам и папкам где можно посмотреть?
Посмотрите внимательно на заголовки в приведенном Вами скриншоте
>>Структура простая.
Ну, а в чем тогда проблема? Пересоберите на новой установке Magento или как я уже раньше упомянул сделайте новую установку Magento по принципу демо-магазина. Или хотите потом на продакшене отлавливать косяки?