Возвращаюсь к теме удаления вирусов с сайтов.
В прошлый раз описывал как найти подозрительные файлы вручную, давал примеры вредоносного кода. Но, как оказалось, в нашем случае, этого было недостаточно. Все указанные меры помогали... На недельку где-то. Стало ясно, что главный бэкдор сидит очень глубоко и довольно редко используется. Понадобилась дополнительная помощь и некоторая автоматизация.
Порыскав по гуглю/янтыксу обнаружил замечательный скрипт
В принципе, ничего сложного в установке нет - распаковал, поправил конфиг, да запустил. Но нюанс есть. Если проверять очень много файлов/каталогов за раз то через web работать не стоит, да и не получится скорее всего. Лучше всего запустить скрипт из консоли через ssh.
В результате работы будет выдан лог с огромным количеством информации, которую надо очень тщательно отфильтровать (ложных срабатываний может быть много), а не пороть горячку и всё изничтожать на что покажет скрипт. Вирусы и прочий вредоносный код можно определять по аналогии с первой статьёй. Но, опять-таки, сначала думаем, а потом режем. Не знаем - лучше спросить (можно меня, можно авторов айболита).
Кстати, попутно с вируснёй вычистили и скрытую рекламу из модулей/плагинов cms.
Добрый скрипт Ай-Болит Бармалея победит!