А. Значит меня не зря смущали строки типа
<option value=»</option>
Спасибо, теперь вижу.
Я смотрел в районе строк ошибок у ТС.
И что могло так «съесть» код?
Оффтоп: Юрий, а что за прога сравнения файлов? В Яше скрин?
Модератор
Юрій
(@yube)
И что могло так «съесть» код?
Хороший вопрос. У меня ответа нет. Увы.
Прога http://meldmerge.org/
Скриншот «системый», бросил на Яшка-Диск, бо с itrash было лень здороваться.
Прога
Спасибо за ссылку, скачал, попробую
Ёперное кино. Задеты все php файлы. Причём пострадал строго блог. Остальные файлы нетронуты, хотя дата изменения сменена. Опять же — дата последнего изменения смущала, но грешил на то, что я просто обновлял что-то и забыл, ибо дата фигурирует на всех файлах.
Бота стоит поискать еще в папке /uploads, часто там прячется между картинками).
У меня иногда при скачивании на компьютер Касперский сразу показывает, где Троян сидит. Но он обычно на JS реагирует, а в PHP не видит.
—-
Найти и удалить — это 30% проблемы, галвное, понимать, откуда пришел и искать дыру.
И что могло так «съесть» код?
Может и вирус. Но не исключаю и «антивирус» хостинга.
http://img600.imageshack.us/img600/7774/r4xo.jpg
Перезалил код, обновил всё на самую последнюю версию. Менее суток прошло — смерч повторился, повреждены все файлы.
Вот запросы к блогу, после чего были модифицированы все файлы.
81.25.115.181 — — [13/Feb/2014:02:45:44 +0200] «POST /wp-content/404.php HTTP/1.0» 200 195 «-» «proxy/1.21 libwww-perl/6.04»
81.25.115.181 — — [13/Feb/2014:02:45:45 +0200] «POST /wp-content/404.php HTTP/1.0» 200 195 «-» «proxy/1.21 libwww-perl/6.04»
81.25.115.181 — — [13/Feb/2014:02:45:25 +0200] «POST /wp-content/404.php HTTP/1.0» 404 273922 «-» «proxy/1.21 libwww-perl/6.04»
81.25.115.181 — — [13/Feb/2014:02:45:05 +0200] «POST /wp-content/404.php HTTP/1.0» 404 444465 «-» «proxy/1.21 libwww-perl/6.04»
Модератор
Юрій
(@yube)
/wp-content/404.php явно чужеродный файл. Наверняка найдете в нем много интересного. Если он, конечно, не самоудалился.
Сразу даю ссылочку http://www.revisium.com/ai/
Файл самоудалился к чертям. Я в первую очередь хотел его просмотреть и не нашел. ((
Файл самоудалился к чертям.
Если это проделки хостера — бежать от него надо.
Если это не он, тогда на сайте скорее всего остался шелл и всё снова повторится.
И первое не исключает второго.
Кто хостер-то?
Хостер svai.net
Шелл нашли, этот гад прописался и попортил другие сайты на этом аккаунте тоже. Любой запрос к любому php обновляет шеллы чуть более чем везде.
Массово откатываемся на декабрь. Слава богам база не пострадала.
Найденный шелл: http://pastebin.com/DCUQV8f2
Шелл нашли
Это не шелл, это поисковый редирект. Он только редиректит пользователей с ПС и никак больше не вредит.
Т.е. причина порчи файлов другая.
Хостер svai.net
Второй раз встречаю этого хостера, но никак не могу найти что же было в первый раз, где он упоминался.
Узнайте у него — используют ли они автосканер и авто»лечение» файлов пользователей. (напр. maldet )
Говорят сканер есть, но автоматическую правку кода не практикуют.
