Не совсем это похожая ситуация.
Кстати, такой вирус пишут через шелл, который заливают через джумлу. Очень часто сам шелл лежит в /modules/mod_myblog_archive/ - такого модуля не существует, удаляйте его если есть.
Но также шелл может быть и в других местах.
Хостинги, которые помню: masterhost, jino, valuehost, revohost.ru, 1gb.ru, MAJORDOMO, reg.ru, sprinthost.ru, вдсы, дедики, и т.д. и т.п.
Фтп клиенты: тотал или FileZila
Вирус как обычно во всех .js файлах. :)
Да, сайты абсолютно на любых движках: и платные, и бесплатные и самописы
Люди, отрубайте фтп на время, когда вы им не пользуетесь, например при помощи .ftpaccess и будет вам счастье. :)
Сменить пароль от фтп и убрать строки из всех js файлов. Код правда во всех файлах разный, но можно написать регулярку.
Или можно стукнуть мне, если файлов очень много и лень заморачиваться, я скриптом быстренько пройдусь и всё чисто будет :)
Или конечно бэкапы.
Только не надо делать по примеру одного товарища, который слил все файлы на комп, прошёлся по ним антивирусом, который снёс все js файлы, затем он снёс уже все файлы с хостинга, и залил "чищеные".
А потом спрашивает, чего у меня сайт криво работает
tos-ka, вы меня поражаете. С такими вопросами вам наверно лучше сюда обращаться. Скажите, откуда мы, обычные люди, не обладающие сверхъестественными способностями можем знать где у вас в каком либо плагине или ещё в каком либо месте дыра?
Вся информация от вас - это то, что у вас вордпресс, рядом стоит джумла, вы ничего не можете найти, и каждую неделю чудесным образом у вас дописывают код в файлы. Как не имея физического доступа можно что-то конкретное вам ответить?
Хотите реальной бесплатной помощи - давайте логи на момент модификации файла. Нету логов - просите хостера их вам предоставить, только время точное назовите, вы же его запомнили?
Нет, почему же. Как раз таки шеллы прекрасно находит, не все конечно разновидности, но всё же.:)
Всё очень просто - взять и найти :) как вариант - выкачать все ваши сайты на компьютер и проверить антивирусом. Нормальные антивирусы процентов 60 шеллов находят, но не все.
Есть ещё вариант - заплатить. Сразу отпадает надобность что-то искать, и каждую неделю на Серче писать, что опять тоже самое😂
Не вы первый 😂
А собственно то, что ваши сервера тут не при чём, а пароли от фтп именно воруют я могу сказать с полной уверенностью. С момента появления этого вируса я встречал его наверное уже на сотни сайтов это точно, и сайты на разных хостингах, так что косяк не на стороне серверов в любом случае.
Мне только что опять попался вдс с этой дрянью, в логах опять этот ip, причём вдс всего 2 недели назад установленный, владелец пользовался ftp только 1 раз, когда заливал сайт. При этом пароль он сохранил в Тотал командере. Лог от начала жизни вдс весь есть, брута фтп не было, следовательно единственный вариант - спёрли пароль из тотала.
Аналогично. Вчера человеку чистил сайт от этого вируса, дописали его также с этого 50.115.122.28 по фтп.
Хостеры, блокните этот ip у себя на серверах, пусть это хоть и не надолго, но может хоть несколько сайтов ваших клиентов спасёте. :)
Тогда только услуги на платной основе, подсказать тут больше нечего.
Варианта 3:
1. Либо .htaccess, не обязательно тот что в корне
2. Либо Javascript
3. Либо php с условием работы только при определённых USER_AGENT.
А где это именно у вас, могут сказать либо телепаты, либо люди, которые за оплату посмотрят файлы вашего сайта.
