Недавно обнаружил переодическую медленную загрузку страниц форума. Процессор на сервере иногда работает на полную мощьность, но на форуме нет большой активности.

 

Через поиск нашёл на своём домене вот такие страницы: _www.yartsevo.org/ips_kernel/fun/korrekturnaya-proba-burdona-blanki.html

 

На сервере таких папок (fun) и файлов (korrekturnaya-proba-burdona-blanki.html) нет.

 

По поиску обнаружил, что подобные страницы выскакивают на многих форумах:

_www.google.ru/search?q=ips_kernel+обнаружен+у+нас+на+сайте&oq=ips_kernel+обнаружен+у+нас+на+сайте

 

Все они как бы находятся в папке ips_kernel.

 

На этих страницах есть ссылки на домены: tdshooligana.ru, nakachayfiles.ru. Согласно whois зарегистрированы они недавно (2013.09.14), примерно в это время и начались проблемы со скоростью загрузки.

 

 

Может кто сталкивался с подобной ситуацией или знает как надо поступить?

 

 

 

Обновиться до последней версии форума и удалить все подозрительные файлики.

Обновляться пробовал, не помогает. А как эти подозрительные файлики найти? Там их много.)

Путём сравнения с оригинальным дистрибутивом.

Админка - Система - Центр Безопасности, кстати тоже помочь может.

Отыскал вредоносный файл: ips_kernel/classCustomFieldss.php

 

И в файле .htaccess этой же папки был такой код:

DirectoryIndex classCustomFieldss.php
RewriteEngine On
RewriteBase /ips_kernel
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ classCustomFieldss.php?id=$1

Теперь думаю, как кому-то удалось сделать эти изменения у меня на сайте?

 

 

Админка - Система - Центр Безопасности, кстати тоже помочь может.

Сканирование Центра Безопасности дало вредоносному файлу оценку опасности 4 из 10, что не много.

classCustomFieldss.php

Описывали такую проблему на другом форуме. Путь проникновения так и не нашли.