Помогите найти вирус на сайте

Приветствую!
В Яндекс-браузере на одном из моих проектов на InstantCMS v1.9, стало вылазить предупреждение о вирусе на сайте.
В других браузерах таких предупреждений пока нет.
Проверил сайт в онлайн сервисе antivirus-alarm.ru и он нашел Трояны.
Кто поможет их найти на сайте или подскажет как это быстрее сделать?

В папке upload нашел какие-то подозрительные файлы php со всякими странными названиями типа aliexpress. Все удалил.
Права на папку и подпапки стоят 755. Какие должны стоять, чтобы туда гадость не грузили?

Проверил другой проект на InstantCMS 2, так там на папку upload стоят права 777. Теперь и на этом выставил такие же права.

Проверил еще раз, вот такая вот фигня:

Права на папку и подпапки стоят 755

так там на папку upload стоят права 777

docs.instantcms.ru/manual/install


Посмотрите не снесли ли чего лишнего в .htaccess и проверьте они вообще на месте или нет.

Про смену паролей думаю сами знаете...

Смержить и проверить файлы и папки с помощью WinMerg (или подобных) с чистым движком или последним не зараженным бекапом (если такой есть)

Можно еще этим посмотреть:
revisium.com/ai/

Если есть ссылки левые, по базе поискать...

Man, Вы и сами это наверное знаете, но на всякий случай)).

ЗЫ:

Права на папку и подпапки стоят 755

Забыл что вы про версию 1.Х спрашивайте, там 755 может быть вполне нормальным...

… нашел:
/forum/thread18918-1.html

У меня 755 стоят (и стояли по умолчанию) и работает нормально
755 выше чем 777, если с 755 сайт работал нормально, значит нет смысла менять на права ниже.

755 на папки и 644 на файлы…

Проверил сайт в онлайн сервисе antivirus-alarm.ru и он нашел Трояны.

В этом сервисе и у меня все сайты с троянами. На всех сайтах они всякие разные и красиво светятся красным шрифтом.

Даже чистая CMS 2.10.1 вот такая вся красная


На всякий случай проверил Virusdie каким то


Проверяйте чем нибудь другим. Там, скорее всего, "совсем всё" показывает.

Поставил права на папку upload 555, чтобы юзеры не могли в корень грузить свои php файлы.
Там получилось так: авторегистрация, потом был создан блог с кучей партнерских ссылок. Я это обнаружил и снес.
Теперь Яндекс мне сообщил о вирусе, так как это все было сделано через загруженные php файлы.

Вчерашний бэкап весь с вирусами.

Я на старых движках сверяла вообще вручную. Но вредоносных скриптов было всего около 2х, 3х в файлах .js и тому подобных. Которые видимо и качали всю гадость автоматом. Советую проверить вначале сторонние разработки.

Man,
А может папку upload (а лучше весь сайт) упаковать на сервере, стащить на комп, всячески проверить, удалить вирусы и закачать обратно?

Man,
А может папку upload (а лучше весь сайт) упаковать на сервере, стащить на комп, всячески проверить, удалить вирусы и закачать обратно?

Ну я сейчас его проверил онлайн. Вроде бы уже все нормально. Но пока Яндекс уберет свою пометку, что на сайте вирусы, пройдет еще недели 2.
Они или через доску объявлений или личный блог, где грузятся фотки, загружают вместо фото php файлы.

где грузятся фотки, загружают вместо фото php файлы.

Так там же настройки есть какие файлы разрешить грузить.
.jpg,.jpeg,.png и все…

загружают вместо фото php файлы

Поставьте в папке upload запрет запускать php файлы с помощью настроек в .htaccess

Поставьте в папке upload запрет запускать php файлы с помощью настроек в .htaccess

А как правильно это прописать?

Man, в двойке, например, в папке upload лежит файл .htaccess с содержимым

Может не работать. Тут есть еще варианты likbezz.ru/viewtopic.php?t=175