4.1.x Visual Sense Template for SocialEngine 4

Учитывая, что вы скачать не можете, не понятно о какой ссылке идет речь. Кстати срочно необходимо научится разговаривать и прочитать правила форума...

Подтверждаю, зашёл сегодня, сайт грязный. В нём внедрены эксплоиты и редиректят на троянов и прочее зверьё. Как-то 100 лет назад мой сайт так заразили через мой же Ftp клиент.
Существует не очень много способов заражения.
Первый самый легкий состоит в том, чтобы украсть доступы к фтп проекта, зайти на него и добавить вредоносный код.
Второй более сложный, но интересный, – найти уязвимость в php-скриптах и выполнить с помощью уязвимости произвольный код на странице.

Порядок действий. Обязательно!!!

1. Срочно проверьте свой компьютер на наличие вирусов. Пароли доступа ФТП обычно воруют трояны, которые заразили Ваш компьютер или компьютер другого сотрудника, знающего доступ ФТП к сайту.
2. Срочно смените ФТП доступ к сайту. Чаще всего именно по ФТП происходит заражение сайтов.
3. Подготовьтесь к лечению сайта. Сделайте бекап сайта, сохраните веблоги посещаемости сайта и запросите у техподдержки хостинга лог подключений по ФТП к сайту. Логи могут потребоваться для поиска хакера и выявления способа заражения сайта.
4. Приступайте к поиску и удалению вируса.

Только убедившись, что Ваш компьютер больше не заражён и, сменив ФТП доступы к сайту, можно переходить к следующим этапам, непосредственно к поиску и удалению вируса с сайта.


Варианты вредоносного кода в файлах:
1) Наверно самый распространенный – закодированный вариант, выглядит довольно просто, обычно размещается в начале страницы

PHP:

<?php
eval(base64_decode("Всякая лабуда");
? >

Если вам станет вдруг интересно, что находится в теле этого зверя, модифицируйте его к следующему виду:

PHP:

<?php
echo base64_decode("Всякая лабуда");
? >

2) Палится довольно легко – это скрытый фрейм с параметром hidden и ссылкой на чужой проект. Подгружается левая страница, на которой находится вредоносный скрипт.
Привожу код:

PHP:

<iframe ... ссылка на чужой сайт>

Обычно располагается после тега <body> либо в самом конце страницы причем перед ним обычно располагаются строчек 40 пустых и создается впечатление, что внизу ничего нет.

3) Третий сложно отлавливать, это обычный javascript с ссылкой на чужую страницу. Сложность в том, что ява скриптов на сайте много. И обычным поиском по всем скриптам и проверкой сотни другой файлов заниматься обычно желания не возникает.

PHP:

<script ... ссылка на другой сайт></script> 

Как вылечить сайт от вируса

1) Скачиваем все файлы сайта с фтп.

2) Скачиваем программу, которая ищет текст в файлах в определенной каталоге и подкаталогах.
Например: FindFiles.

2а) Сравниваем все файлы с исходными программой WinMerge, отлавливаем и удаляем вредоносный код.

3) Выбираем папку с сайтом вводим в поиск приведенные выше фразы и ждем результата.
Например: eval(base64_decode или <php eval

4) Открываем все файлы, которые нашла программа и удаляем из них вредоносный код.
!ВНИМАНИЕ: Помните не каждый iframe и javascript – является вирусом.

5) Меняем пароли доступа к хостингу, фтп, цмс.

6) Заливаем исправленные нами файлы обратно.

На заметку! Коды троянов размещаются на сайте часто вперемешку с кодом PHP. Для корректного удаления кодов троянов нужно быть немного программистом. Поэтому, будьте осторожны

Наверное надо поискать скриптик ежедневного мониторинга сайта на предмет заражения.

Проверка сайта on-line проверками безпонтовое занятие, все эти проверки хацкерами обходятся на раз.