- Проверить на любые изменения файлов find . -type f -name '*.php' -mtime -2
- Сравнение 2-х версий сайта. diff -r wordpress-clean/ wordpress-hacked/
- Пример поиска файлов на сервере с зараженным кодом. find $PWD -name '*.*' -exec grep -li "iframe" {} \;
- Если нет доступа по SSH <?php
- Поиск по базе данных (БД). В некоторых случаях часть вредоносного кода может находится в самой БД. В таких случаях нужно БД тоже проверять на %base64_% и %eval(% или другие вышеизложенные функции. Искать по БД можете по разному.
- Manul от Яндекса http://help.yandex.ru/manul/
- Антивирусная проверка, используя специальный сервис поисковой системы Google -http://support.google.com/webmasters/bin/answer.py?hl=ru&answer=168328
Тут clean — чистая наша копия и hacked — зараженная копия. Если хотите исключить какие либо папки из сравнения, можете воспользоваться ключом -x название-папки.
find $PWD -name '*.*' -exec grep -li "unescape" {} \;
find $PWD -name '*.*' -exec grep -li "fromCharCode" {} \;
find . -type f -name '*.php' | xargs grep -l "eval *(" --color
find . -type f -name '*.php' | xargs grep -l "base64_decode *(" --color
find . -type f -name '*.php' | xargs grep -l "gzinflate *(" --color
system("find . -name '*.php' -exec grep -l 'base64_decode *(' {} \; > rem01.txt");