LiveStreet CMS

Только вот в чем штука — у меня теперь комп. должен быть заражён, а cureit ничего не находит…

Как опубликовать здесь в архиве — не знаю, поэтому загрузил на сервер:

Заражённые (или один из них) ActionBlog.class.php и ActionProfile.class.php из директории /httpdocs/classes/actions

Заражённые? ActionBlog.class.php и ActionProfile.class.php из директории /private/02_06_2011/classes/actions

Кажется решил вопрос — нашёл, что в файлах /httpdocs/classes/actions два файла ActionBlog.class.php и ActionProfile.class.php содержат base64_decode, а оригиналы в дистрибутиве — не содержат.

Скопировал код из дистрибутива в эти файлы на сервере — вредоносный код исчез.

Остались в директории /private/02_06_2011/classes/actions файлы с тем же названием, они содержат код «base64_decode», но, поскольку в дистрибутиве этих файлов нет, то не знаю, на что менять.

Они случаем не должны быть идентичны тем, что в директории /httpdocs/classes/actions?

Я наверное совсем тупой… вобщем нашел я упоминания «base64_decode» в нескольких файлах, но там нет «newdomme.changeip.name/rsize.js»… не понимаю, что делать дальше.

ВОт здесь прочитал о возможном решении: www.komtet.ru/lib/tech/udalenie-inekcii-eval-iz-php-skriptov

но не знаю, как выполнить консольную команду…

Делал именно так для некоторых папок и всего сайта. Видимо некоторые файлы тотал коммандер не читает, т.к. поисал довольно быстро — несколько секунд на весь сайт и ничего не нашел.

ОК, обойдусь без него :)

Я не по всем файлам искал, а вообще сразу по всей папке ливстрит запустил поиск…

А как попасть в base64 и проверить?

Я вот сейчас понял, что тотал коммандер не может априори все найти, поскольку у файлов разные расширения, многие он просто не может прочитать видимо, так что нужен какой-то другой поиск…

Нет

Хостер пишет, что проблема не у них, а у меня на сайте… вообщем не вижу пока выхода… разве только сделать откат попробовать…

Сделал — ничего не нашёл… :(

В этом файле этого кода нет.

Я сделал также следующее — скачал весь сайт на комп и прогнал поиском в тотал коммандере с помощью alt+F7 — искал файлы с текстом кода или его частями — ничего нет…

Написал письмо хостеру — жду ответа… может это только он может код удалить…

Тотал коммандер поставил, но он вроде как не может искать файлы на сервере через ftp…

Если копирайты — это файл footer.tpl, то там тоже ничего нет.

А в какой папке хук копирайтов и можно ли пройтись также файлзиллой, по аналогии с тотак коммандер?

В файле \templates\skin\_Ваш_скин_\block.blogs.tpl тоже не нашёл этот код.

Там этого кода нет, уже смотрел…

Не знаю, честно говоря. Может если кто-то будет входить по https…

Там дистрибутив, а в дистрибутиве этого файла нет…