Вирус {HEX}php.cmdshell.unclassed.344

[zikro]

Здравствуйте. 
Неделю назад пришло письмо от reg.ru, что появился вирус {HEX}php.cmdshell.unclassed.344
Я проигнорировал.

И далее на форуме появился один пользователь, который сам себя перевел в другую группу, получал доступ к закрытым разделам и т.д 

{HEX}php.cmdshell.unclassed.344 : u535**** : /var/www/u535****/data/www/******.ru/ips_kernel/interfaces/interfaceUser.php

Я так понимаю теперь у меня шелы. 

Но совершенно не знаю как это устранить, сохранить из резервной копии - не могу, так как у меня форум и люди будут очень не довольны если все темы и т.д удалятся. 

Заранее большое спасибо за помощь!

[achilless]

http://www.revisium.com/ai/

 

+ по форуму поставить все заплатки безопасности, и в будущем следить за обновлениями.

 

--------------

Изменено 29 Июля 2013 пользователем achilless

[Denis Chursinov]

Спасибо за айболита, отличный скрипт. Еще стоит после проверки файлов заглянуть в базу в таблицу core_hooks_files на предмет обращений к левым файлам. А шелл уже указан в отчете. Желательно посмотреть дату создания и сопоставить с логом обращений.

[Arhar]

желательно запретить в php функцию touch и все системные вызовы, дабы вражина не могла спрятать шелл, изменив его дату

[Denis Chursinov]

Это да. Желательно вообще прикрыть escapeshellarg,escapeshellcmd,exec,ini_alter,parse_ini_file,passthru,pcntl_exec,popen,proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,show_source,shell_exec,symlink,system

[Arhar]

только нужно понимать, что после закрытия exec не будет работать безопасный режим шаблонов