Вирус base64_decode во всех PHP скриптах

Stolz, примерчик того, какие функции блокируете в php.ini не выложите?:)

с аналогичными признаками в начале месяца этого были взломаны сайты на WP. Вирусняк вначале создавал файлы вида w1234567w.php в корне сайтов, затем прописывал по всем *.php свой код в начале, как писал ТС. Следующим шагом была подмена .htaccess с редиректом и на все папки 777. Спасибо хостерам - все почистили.

поэтому, проследите дальше, не будет ли подмена файлов.

поставил плагин, который отслеживает активность на сайте и вижу, что ежедневно идет атака с кодом eval(base64.....) с IP 31.*.*.* (разный дальше)

facegrodno, а как плагин называется?

mute screamer

Не просто обьратиться, а бить в живот ногами. Это чистейший прощелк админов. Так как на большинстве хостнгов обновляют софт только тогда, когда уже просто их сервера сносят хакеры после установки через незакрытые дыры или когда клиенты криком кричат из-за неподдерживаемых НУЖНЫХ им функций в старом софте. В целом многие хостинги работают по принципу "заплатил - свободен". Потеряв 7 серверов, после "внезапного пожара" в ХостингЮА (Одесса) я принял категорическое решение. Все что приносит деньги выносить за пределы СНГ. И ни разу не пожалел. А Вы уж многоуважаемые принимайте решение сами , что Вам делать.

Так сайты почистил - удалил этот код и вуаля больше ни каких проблем, очень помогла программа @Text Replacer - очистила весь код за 1-2 минуты. Установил права не изменять файлы - и вроде все нормально. Поисковики больше не жалуются.

Подозрений какой плагин, модуль или компонент мог это сделать у меня нет. Насчет паролей - вобще ни где не храню - помню наизусть.

disable_functions="popen, exec, system, passthru, proc_open, shell_exec, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, base64_decode, disk_free_space, diskfreespace, dl, highlight_file, ini_alter, ini_restore, openlog, passthru, phpinfo, proc_nice, shell_exec, show_source, symlink, define_syslog_variables, escapeshellarg, escapeshellcmd,ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file,posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname"

В завимости от сайтов и задач этот список может варьироваться. Когда настраиваете VDS или сервер просто вбиваете все по максимуму, а затем наблюдать - при включенном выводе ошибок система сообщит, что та или иная функция запрещена.

Сам сегодня пострадал от сабжа:

вот такой код выполнялся

Вырезал заразу из файла wp-config.php. У кого-то есть данные, каким способом заливалось, или гадать только на кофейной гуще пока можно?

Ну чисто гипотетически, есть такое предположение: какой-то "добрый seoшник" и в любом случаи талантливый человек написал скрипт, который при активации открывает все текстовые файлы, находит строку "<?php " и меняет ее на нужный ему текст. А заливался этот скрипт, возможно, самостоятельно, допустим автор скрипта втащил его в какой-нибудь популярный плагин или модуль, дописал строчку активации скрипта и выложил в интернет. И при установки вуаля все новые сайты будут ссылаться на него. Профилактика: права 555 на все файлы.

и я заметил такую особенность после удаления строк с вредным кодом, даже если права 777, на следующий день код не появляется, возможно данный скрипт запускается один раз.

Работоспособность того же вордпресса например не обвалится от такого?