Где искать вирус?

Блог им. csmagazine
Хватанул вирус на сайте.

Почистил все возможные ....js

Удалил весь вредоносный код теперь антивирь пишет такое

Запрещено: dwdtcaphvr.dyndns.tv/g/941589881637042.js (проверка по базе подозрительных веб-адресов) 27.05.2012 18:47:52

Где эту заразу искать не могу понять, может кто сталкивался с такой проблемой?

12 комментариев

avatar
Всё исправил :-)
avatar
нашли откуда взялся?
avatar
Откуда взялся не нашёл, думаю пароли FTP спёрли и залили.
Были заражены все яваскрипты.
avatar
просто не вы первый.
нужно бы собраться всем, кто попал в такую ситуацию и сделать общий список плагинов. может где плагин дырявый.
avatar
я только за. Вирус был везде, и в движке, и в шаблонах, и в плагинах.
avatar
напишите список плагинов в топике.
avatar
autoconnect
autocut
blocktop
changemail
delayedpost
dao
empblogping
extsity
extregister
feedback
lastpublikations
mhb
mystuff
niceurl
noie
onlypersonal
page
payment
people
popupinfo
prof
purse
qipsmiles
sandbox
searchautompleter
seo
similar
sitemap
social
topikdelite
usertop
usewatermark
wall
avatar
у вас какая версия ЛС?
с этим вы ведь знакомы?
avatar
ПРАВА 777 на КЕШ творят чудеса! >> Ставьте 775 (полные права: владелец, группа; остальные читают) присваивайте Вашей папке группу веб-сервера (www-data) и такого больше не будет.
avatar
Код зловреда в личку,
недавно на серваке было заражено куча сайтов, но pravda-news.ru — на ЛС как ни в чем не бывало. Права выставлены полные апачу и пользователю 775, для осталяных все закрыто, апач собственно и разнез заразу, на многих сайтах на клиентскуя часть были только рутовские права (залили и забыли), вероятно это и спасло. В логах было херова туча айпишников в близи Мадрида, примерно каждый второй. Теперь для всех сайтов правим клиента по ssh под пользователем, у которого нет сайта, под рутом все-же как-то ни катит.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.