Вирус на форумах на движке IPB, vBulletin

В последнее время участились случаи заражения сайтов, на движках форума Invision Power Board или vBulletin. Вредоносный код выполняет перенаправление (редирект) заходящих пользователей на сторонние сайты:

url2short.info
myfilestore.com
filestore72.info
url123.info
file2store.info
filestore123.info
и другие.

Данный вирус определяется Яндексом как “Поведенческий анализ”,

Рисунок 1

но его достаточно сложно найти на форуме, так как вредоносный код зашифрован, а редирект выполняется не всегда.

Вредоносный код выглядит следующим образом (выделен рамкой)

ris

Обнаружить код можно, выполнив поиск по дампу базы данных фрагмента “preg_replace(” или “.substr”.

При лечении сайта удалять нужно код, размещенный в базе данных, в данном случае ( форум на vBulletin в поле pluginlist)
Бесполезно удалять код из закэшированных шаблонов, так как он появится снова, загружаясь из базы данных.

© 2020 Virusamnet.com — Очистка сайтов от вирусов, троянов с гарантией.

ИП Адамсон Н.Н. ИНН 502009350670 ОГРНИП 311502025500034 АДРЕС г. Москва, м. Улица 1905 года., Студенецкий переулок, дом 6, подъезд 3, офис 1 E-MAIL vir@virusamnet.com

Рейтинг@Mail.ru