Кажется решил вопрос — нашёл, что в файлах /httpdocs/classes/actions два файла ActionBlog.class.php и ActionProfile.class.php содержат base64_decode, а оригиналы в дистрибутиве — не содержат.
Скопировал код из дистрибутива в эти файлы на сервере — вредоносный код исчез.
Остались в директории /private/02_06_2011/classes/actions файлы с тем же названием, они содержат код «base64_decode», но, поскольку в дистрибутиве этих файлов нет, то не знаю, на что менять.
Они случаем не должны быть идентичны тем, что в директории /httpdocs/classes/actions?
Я наверное совсем тупой… вобщем нашел я упоминания «base64_decode» в нескольких файлах, но там нет «newdomme.changeip.name/rsize.js»… не понимаю, что делать дальше.
Делал именно так для некоторых папок и всего сайта. Видимо некоторые файлы тотал коммандер не читает, т.к. поисал довольно быстро — несколько секунд на весь сайт и ничего не нашел.
Я вот сейчас понял, что тотал коммандер не может априори все найти, поскольку у файлов разные расширения, многие он просто не может прочитать видимо, так что нужен какой-то другой поиск…
Я сделал также следующее — скачал весь сайт на комп и прогнал поиском в тотал коммандере с помощью alt+F7 — искал файлы с текстом кода или его частями — ничего нет…
Написал письмо хостеру — жду ответа… может это только он может код удалить…
Заражённые (или один из них) ActionBlog.class.php и ActionProfile.class.php из директории /httpdocs/classes/actions
Заражённые? ActionBlog.class.php и ActionProfile.class.php из директории /private/02_06_2011/classes/actions
Скопировал код из дистрибутива в эти файлы на сервере — вредоносный код исчез.
Остались в директории /private/02_06_2011/classes/actions файлы с тем же названием, они содержат код «base64_decode», но, поскольку в дистрибутиве этих файлов нет, то не знаю, на что менять.
Они случаем не должны быть идентичны тем, что в директории /httpdocs/classes/actions?
но не знаю, как выполнить консольную команду…
Я вот сейчас понял, что тотал коммандер не может априори все найти, поскольку у файлов разные расширения, многие он просто не может прочитать видимо, так что нужен какой-то другой поиск…
Я сделал также следующее — скачал весь сайт на комп и прогнал поиском в тотал коммандере с помощью alt+F7 — искал файлы с текстом кода или его частями — ничего нет…
Написал письмо хостеру — жду ответа… может это только он может код удалить…