[Redd]

Здравствуйте.

Где-то сидит вирус, который создает дополнительные страницы .xml , на кот. какая-то реклама. Появляются они всегда в папке, куда идет загрузка изображений из fckeditor. Изменение паролей от ftp и доступа к админке не помогло. Плюс к этому, периодически создаются файлы в этой же папке типа .5php (или .php5, могу ошибаться). И было несколько раз ali.exe и wp-stats (папка все та же). Простое удаление всего этого из папки тоже не помогло. Касперский локально ничего не нашел, кроме вот этих файлов, еще несколько антивирусов тоже. Все антивирусы онлайн пишут, что все ок. Скрипт Ай-болит ругается на большое количество файлов, в основном на файлы fckeditor, но на такой же fckeditor той же самой версии, свежескаченный, он ругается точно на такие же файлы.

Нюанс в том, что CMS самописная, сравнивать не с чем. Ай-болит ругается на некоторые файлы php, но там все похоже на обычные функции для работы сайта. На java некоторые тоже ругается, но все это давно уже создавалось разработчиком и как должно быть - не понятно. Онлайн анализы при этом все показывают, что с файлами java все ок.

Можно ли исходя из активности вируса и следов его деятельности только в папке закачек fckeditor сделать какие-то предположения, где его искать?

[AntoXa]

Логи проверяйте, смотрите активность по файлам.

[Redd]

По логам например так (ip меняются):

46.159.247.215 мойсайт.com - [26/Jul/2015:00:14:09 +0200] "GET /imgs/deshevie-aviabileti-iz-kazani-v-adler-61759.xml HTTP/1.1" 200 41120 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0"

66.135.48.133 мойсайт.com - [26/Jul/2015:02:36:31 +0200] "GET /imgs/aviabileti-tomsk-irkutsk-71036.xml HTTP/1.1" 200 41120 "-" "WordPress.com; https://jqtwizetmvfsb.wordpress.com"
66.135.48.133 мойсайт.com - [26/Jul/2015:02:36:32 +0200] "GET /imgs/aviabileti-tomsk-irkutsk-71036.xml HTTP/1.1" 200 41120 "-" "WordPress.com; https://jqtwizetmvfsb.wordpress.com"
66.135.48.133 мойсайт.com - [26/Jul/2015:02:36:39 +0200] "HEAD /imgs/aviabileti-tomsk-irkutsk-71036.xml HTTP/1.1" 200 - "-" "WordPress.com; https://jqtwizetmvfsb.wordpress.com"

[Redd]

Вот ночью загрузился очередной фаил indexp.php c каким-то скриптом внутри. Загрузка через текстовый редактор в его папку для загрузки картинок (все вирусные файлы всегда загружаются только туда).

79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:04 +0200] "POST /admin/fckeditor/editor/filemanager/connectors/php/upload.php?time=1438900195000&Type=File&CurrentFol der=/indexp.php%00 HTTP/1.1" 200 335 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:10 +0200] "GET /imgs/indexp.php HTTP/1.1" 200 120 "http://www.мойсайт.com/imgs/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:15 +0200] "POST /imgs/indexp.php HTTP/1.1" 200 54856 "http://www.мойсайт.com/imgs/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:15 +0200] "POST /imgs/indexp.php HTTP/1.1" 200 82162 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:21 +0200] "GET /indexp.php HTTP/1.1" 200 120 "http://www.мойсайт.com/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Win64; x64; Trident/4.0)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:21 +0200] "POST /imgs/indexp.php HTTP/1.1" 200 54854 "http://www.мойсайт.com/imgs/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:21 +0200] "POST /imgs/indexp.php HTTP/1.1" 200 8478 "http://www.мойсайт.com/imgs/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:22 +0200] "POST /indexp.php HTTP/1.1" 200 82131 "http://www.мойсайт.com/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)"
79.141.172.10 www.мойсайт.com - [07/Aug/2015:01:30:22 +0200] "POST /indexp.php HTTP/1.1" 200 8346 "http://www.мойсайт.com/indexp.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)"

[prihod]

1. в директорию /admin/fckeditor добавить файл .htaccess с содержимым

Код HTML:

# Disable access to all file types except the following
Order deny,allow
Deny from all
<Files ~ ".(xml|css|js|jpe?g|png|gif|pdf|docx|rtf|odf|zip|rar|xml)$">
Allow from all
</Files>

2. Проверить права на папки
3. Проверить сайт на живность (айболит)

[deltamc]

Могу посоветовать:
1. поменять путь к папке fckeditor (/admin/fckeditor/ - сильно палевно)
2. запретить выполнение скриптов в папке куда загружаются изображения
3. перед загрузкой проверять является ли файл изображением

[SocialproYt]

наймите специалиста для лечения сайта от вирусов