Поиск вирусов

[Allaur]

Доброго времени суток!
В начале прошлого месяца поисковик яндекс вдруг заблокировал несколько моих сайтов, типа вредоносный код на сайте.

Понаходил в некоторых скриптах внедрённый код типа 
 

function oA4m(mHD){return saq8(hQjX20(mHD)

Поудалял. всё равно яндекс ругается. Покапался глубже. Нашёл в файлах  некоторых модулей php код типа

<? $GLOBALS['_1586600620_']=Array(base64_decode('aW' .'5pX' .'3Nl' .'dA=='),base64_decode(

Модули типа Yandex Money Payment
Если код в скриптах стоит  в самом конце файла, то $GLOBALS находится в середине файла.

И вот не пойму, это внедрённый код или требуемый для работы модуля...
Для поиска вредоносного кода использую AI-BOLIT

Вот пример на что ругается айболит
 

/admin/controller/payment/yandexplusplus.php
[x] 1…WFuZGV4cGx1c3BsdXNfbGljZW5zZQ==','ZW50cnlfbGljZW5zZQ==','ZW50cnlfbGljZW5zZQ=='); return base64_decode($a[$i]);}?><?php if(($this->request->server[_981769965(0)]

/admin/controller/payment/yandexplusplus_card.php
[x] 1…GV4cGx1c3BsdXNfY2FyZF9saWNlbnNl','ZW50cnlfbGljZW5zZQ==','ZW50cnlfbGljZW5zZQ=='); return base64_decode($a[$i]);}?><?php if(($this->request->server[_1853304191(0)

/vqmod/vqcache/vq2-admin_controller_payment_yandexplusplus.php
[x] 1…WFuZGV4cGx1c3BsdXNfbGljZW5zZQ==','ZW50cnlfbGljZW5zZQ==','ZW50cnlfbGljZW5zZQ=='); return base64_decode($a[$i]);}?><?php if(($this->request->server[_981769965(0)]

/vqmod/vqcache/vq2-admin_controller_payment_yandexplusplus_card.php
[x] 1…dXM=','eWFuZGV4cGx1c3BsdXNfY2FyZF9saWNlbnNl','bGljZW5zZQ==','ZXJyb3Jfa2V5X2Vy'); return base64_decode($a[$i]);}?><?php if(!$this->request->post[_881163321(0)]){

 

Это действительно вредоносный код?
Чем можно проверить сайт на наличие вирусов?
Онлайн сервисы просто говорят что сайт заражён и данных о заражённых файлах не дают.
 

[chukcha]

ЭТО внедренный код
Правильный код опенкарта не чодержит и не работает с глобальными переменными

 

Ну так раскодируйте, то что вам подсовывают

Искать нужно по всем файлам!

[Shureg]

А что мешает сверить с исходным кодом модулей? Или с бэкапом сайта?

 

Вообще, подозреваю, что если покопаться еще глубже, то новое найдется. Проверять сайт на наличие можно тем же айболитом, руками, сравнением с бэкапом, наймом проверятеля и т.п.

[Eldaeron]

Если вам интересно так то вот https://stackoverflow.com/questions/8398749/decode-base64-in-array-to-figure-out-hackers-intents

 

Можете раскодировать посмотреть что вам за свинью подсунули))).

 

Модули лицензионные или feofan/lowenet ?

 

[Allaur]

3 часа назад, chukcha сказал:

ЭТО внедренный код
Правильный код опенкарта не чодержит и не работает с глобальными переменными

 

Понял, спасибо
 

 

3 часа назад, Shureg сказал:

А что мешает сверить с исходным кодом модулей? Или с бэкапом сайта?

 

Сайты не мои, моих клиентов, я их не админю(денег жмут ), они сами бекапов не делают.
 

 

3 часа назад, Eldaeron сказал:

Если вам интересно так то вот https://stackoverflow.com/questions/8398749/decode-base64-in-array-to-figure-out-hackers-intents

 

Можете раскодировать посмотреть что вам за свинью подсунули))).

 

Модули лицензионные или feofan/lowenet ?

 

спсибо за сссылку
Модуль яндекса ставил сам хозяин сайта. Где брал не знаю.
С феофана модули не качаю , на заре своей деятельности понял что черевато последствиями всевозможных редиректов))