NiceSEO’s VKontakte Crossposter

Бесплатный плагин для Wordpress для автоматического кросспостинга в паблик ВКонтакте

Удаляем заразу: niceseo vs вирус eval(base64_decode). 1:0

Удаляем заразу: niceseo vs вирус eval(base64_decode). 1:0Привет, дорогие друзья!

Тема сегодня актуальная, т.к. бушует эпидемияна сайте обнаружился вирус, который напихал фразу «eval(base64_decode» в кучу файлов? Ерунда, ща niceseo разберётся! 😉

Ну, во-первых, немного предыстории.

Сначала сразу несколько клиентов жаловались на падение позиций сайта в поисковиках, как показал первичный анализ, появились непонятные вирусы на сайтах, а также, что Opera и любимый наш Яндекс «предупреждают об опасности на странице».

Затем Яндекс.Вебмастер стал мне слать письма о том, что и на моих личных сайтах также найден вирус.

Удаляем заразу: niceseo vs вирус eval(base64_decode). 1:0

Более тщательный анализ показал, зловредный код действительно имел место , и заключался он в функции:

и далее зашифрованный код.

Поэтому найти его очень просто, нужно поискать в файлах сайта строку «eval(base64_decode».

Поискали? Нашли дофигища файлов? У меня на сайте proach.ru, например, обнаружилось почти 5000 файлов 🙂 :

Удаляем заразу: niceseo vs вирус eval(base64_decode). 1:0

Да уж. Ладно бы файлов было там 10-20, ну даже 100, удалили бы вручную и всё, но проблем фо ми. Но нет, 4870 файлов, из которых надо удалить зловредный код.

Делаем следующим образов: Скачиваем программку Text Replacer, и дальше думаю всё понятно:

Удаляем заразу: niceseo vs вирус eval(base64_decode). 1:0Всё, из файлов сайта вирус удалён. Заливаем бэкап обратно на хостинг.

Кстати, хинт: Текст Реплэйсер может и не найти почему-то файлы, тогда фразу по частям ищем)

Но на этом излечение не заканчивается, нужно еще сделать дамп мускульной базы данных, поискать там на всякий случай злосчастную фразу, и тоже удалить, если есть.

Теперь точно всё, зараза удалена. Но как не допустить, чтобы снова она появилась?

В моём случае, например, сторонних доступов по FTP не было, поэтому появился вирус либо из-за уязвимостей в Joomla, либо из-за неправильно выставленных прав на папки (CHMOD).

Поэтому, КРАЙНЕ ВАЖНО, провести следующие профилактические действия: просканировать сайт на данную ерунду, обновить джумлу и проверить доступы к файлам/папкам, иначе велик шанс не только заполучить кучу левых ссылок, а то и реально вирус у себя на сайте, но и выпадение сайта из индекса Яндекса, а насколько это плохо — тут и дураку понятно.

За сим всё, здоровой жизни вашим сайтам, без вирусов. С вами был linur, niceseo.ru, до новых встреч!

Дополнение от нашего читателя: вирус также пихают нынче не только в php-файлы, но и в картинки! Будьте бдительны!)

Статью подготовил linur, Специально для NiceSEO.ru, 26 января 2012 года. При копировании не забывайте о ссылке на источник.
Я также состою в:
Лучшая веб-студия!
Яндекс.Метрика
© 2011-2018 NiceSeo.ru