Вирус на сайте

Не пугайтесь, на этом блоге нет вирусов. Этот пост о том как я вылечил один интернет магазин от вирусов. И хотя я так и не смог найти где прятался вирус, всё же с работой мне удалось справиться. Возможно вирус был занесённ тем, кто этот магазин устанавливал - специально или случайно, а возможно что владельцу сайта подсунули уже заражённый скрипт магазина, выдав его за оригинальный и сняв с него денежки. Я в истории вопроса особо не ковырялся, тем более что общался с владельцем магазина через посредника.

  А началось всё с того что один знакомый, через которого я уже принимал пару заказов на создание сайтов под ключ, попросил помочь побороть заражение сайта одной московской фирмы, вернее интернет магазина который находится в папке основного домена. Перед отьездом в отпуск я дал пару советов по удалению и поиску вирусов, но вылечить сайт не удалось. По приезду было предложенно либо вычислить где прячеться вирус и удалить его, либо установить другой скрипт магазина и перенести данные о товарах. Пролема была в том что у владельца этого сайта не остался оригинал самого скрипта интернет магазина, а скрипт платный - Shop Script PRO. Да и ещё сам момент когда произошло заражение чел прошляпил, поэтому и по дате изменения файлов ничего не найдёш. А времени прошло уже много, минимум месяцев 5 до того как обратились ко мне.

  Для того что бы найти где спрятался вирус я перекачал весь магазин на комп, сделал бэкап БД магазина и запустил его на Денвере, предварительно просканировав все файлы несколькими антивирусниками и поиском попытался найти стандартные фрагменты кода, который обычно присутствует в индексных файлах заражённых сайтов. В большинстве случаев, когда сайты заражают получая доступ по FTP, воруя с компьютера владельца пароли и логины, к коду индексных страниц добавляется iframe код через который на компьютер посетителя подгружается вредоносный код с другого сайта. В данном случае это не сработало. Никаких фрагментов поиск по файлам не нашёл и все антивирусники промолчали. Но как только я запустил магазин на Денвере, заранее отключив интернет, мой антивирусник и файервол сразу заголосили. Я перерыл все файлы которые могут вызываться при запуске индексной страницы магазина, проверил данные БД - ничего!

  Должен Вам сказать что сам скрипт магазина очень напичканный, его разрабатывали ещё в 2006 году и даже после модификаций он всё же довольно сложный по архитектуре. Только за оформление отвечает аж 25 файлов! В таком бардаке из кучи всяких папок и файлов найти что то очень проблематично. Но и переносить данные из БД в другой магазин тоже не хотелось. В базе было набито порядка 350 наименований товаров со всеми сопутствующими данными - цены, фото, скидки... Тогда я решил найти скрипт именно этого магазина на варезниках и просто перезалить его. И после пары часов поисков и кучи мата на ссылки, ведущие на всякие депозитфилес и прочие мёртвые файловые архивы, нашёл скрипт этого магазина. Причём более новой версии. Установил магазин с нуля, загрузил данные из БД и перенёс файлы оформления магазина от прежней версии. На неделе должен получить денежку от владельца магазина.