Отключить можно если только брутально.
Замените строчку (примерно 2023я)
if (file_exists(DOUBLECHECK_FILE)) {
на
if (false) {
А вообще ничто не мешает удалять AI-BOLIT-DOUBLECHECK.php перед запуском сканирования и все. Если вручную - удалить ручками, если автоматизированно - то из скрипта.
Все способы поиска обфусцированного кода в движке достаточно трудоемки. Нужно ковырять код.
Для начала просканируйте AI-BOLIT'ом http://revisium.com/ai/, может сходу найдет что-то (оранжевые файлы тоже нужно просмотреть). Дальше есть вариант сравнения вашего движка с оригинальным дистрибутивном в каком-нибудь Araxis Merge Tool или Beyond Compare.
Либо у вас обфусцированный код генерирует эту вставку, либо на уровне сервера какой-то инжект вставляет код до </head>.
Создайте
test1267345345.php с кодом
<?php phpinfo(); ?>
Если вставка тоже будет, значит на уровне сервера взлом. Если не будет, вероятно, обфусцированный код в движке.
Если сайт самописный, в первую очередь его рекомендуется прогнать через Acunetix Web Vulnerability Scanner или XSpider. Скорее всего дыра.
Как можно искать спам-ссылки в Joomla (и не только):
http://www.revisium.com/kb/case_spam_links.html
В версии AI-BOLIT 20130909 была ошибка, вызывающая много ложных срабатываний, поэтому выпущена версия 20130910 с исправлениями.
http://revisium.com/ai/
AI-BOLIT версии 20130909
- Добавлено много новых сигнатур вирусов и шеллов
- Добавлены .aknown файлы для Joomla 2.5.14 / 3.1.5, Wordpress 3.6
- Добавлены новые сигнатуры в .aignore файл
Качаем, проверяем свой сайт http://revisium.com/ai/
Не стесняемся лайкать, делиться ссылкой, рассказывать друзьям :-)
Запросите через панель вебмастера Яндекса фрагмент кода, который они считают вредоносным.
Но скорее всего те же грабли - взломанный сервер. В теме подробно описана технология проверки.
Так у вас может быть пустой каталог, из которого вы запускаете?
Да и запускать по ftp скрипт физически невозможно. Нужен ssh.
Но рекомендую вот этот вариант http://www.revisium.com/kb/scan_site_windows.html
Читаем FAQ, пункт 10
