Вполне возможно, что на одном из сайтов у вас есть уязвимость, которая позволяет загрузить на сервер шелл. В самописах очень часто такое встречается, например есть форма для загрузки чего то и в ней не проверяется или плохо проверяется расширение файлов.
В вордпрессе в последнее время втречаются шеллы загруженные через уязвимость в timthumb.php и просто вставленные в один из файлов темы или плагина прямо через админку сайта.
В Joomla, включая версию 1.5.25 сбрасывают пароль в админку, а затем 3 способа:
1. Разрешают в настройках загрузку php файлов и загружают через медиа менеджер.
2. Вставляют вместо любого из шаблонов
3. Ставят левые модули типа mod_system и т.д, которые сами по себе и есть шеллы.
Шелл не всегда может находиться там, куда его загрузили изначально. Часто их прячут перенося поглубже.
А тут не нужно ничего думать. Я сам конкретно видел вчера несколько случаев, когда на аккаунте несколько сайтов, но JS модифицировали не во всех.
Причём как обычно переписывали по фтп.
Одной из причин почему так может быть, я вижу то, что ftp сервер например был перегружен, лёг, сбросил соединение. Возможно и какие то другие причины.
Ну так антивирусные компании же каждому вирусу собственное название присваивают. То есть один и тот же вирь у разных антивирусов может называться по разному.
Ну так да, код всегда разный, начинается с
Повторяется всегда Array.prototype.slice.call(arguments).join по этому выражению можно искать, если не уверены, что все файлы почистили.
Можете руками почистить, хотите - можете скинуть в личку доступ по фтп - пройдусь скриптом, он быстро всё вылечит.---------- Добавлено 05.04.2012 в 16:21 ----------
Неожиданно от нода, хвала ему. Каспер такие файлы например наглухо удаляет :)
Сайты этой дрянью начали заражать раньше. Первое время он этот вирус в JS не видел.
Ну а чё тут посоветовать - восстанавливайте, раз архив есть
Это активно обсуждается в данной теме
Согласен, но я очень сильно сомневаюсь, что вот прямо сегодня мы здесь коллективно возьмём и найдём причину. А сайты продолжают ломать, и закрыть фтп это хоть какое то временное решение в случае с дописыванием в JS
По вашим первым пунктам также скажу, что без разницы какой ftp сервер и операционка на сервере, единственное сервера с виндой не попадались. А вот по поводу домашней операционки мне тоже интересно.
Про себя скажу что стоит винда XP, правда с включённым автообновлением, стоит Kaspersky Internet Security 2012, 2 недели назад специально сохранил в Файлзилле и в Тотале пароли от двух тестовых сайтов, но до сегодняшнего дня их никто так и не вытащил. По сайтам с вируснёй лажу ежедневно.
Погуглите по: с99 shell, с100 shell, r57 shell, Shell 42 - они все валяются в открытом доступе, скачайте, посмотрите---------- Добавлено 05.04.2012 в 12:10 ----------
Тут кто-то ссылку на айболита скидывал, поищите. Но он не всё находит, например WSO он не видит
Вон, нашёл его на cy-pr.com
UPD: SeVlad подсказал ссылку сайт разработчика
Только что мне подогнали 😂 54 сайта, все на хостинге, имя которого запрещено здесь называть, все на джумле и в разных аккаунтах. Жесть 😒
На каждом из сайтов время изменения файлов с разницей примерно 5-8 секунд, из чего делаю выводы, что опять фтп. Но и шелы здесь есть.
