Вчера NOD32 моего друга поймал вирус при обращении к этому блогу О_о Что характерно, мой NOD на ноуте и Symantic на работе ни разу не ругнулись. JS/Agent.NEK  – вот имя этого злодея.

В интернетах нашел, что из себя представляет этот зверь:

В конце *.js файлов появляется строчка(несколько) вида

var cfd4324=”";function jc9fedf1309c1(){var de86524=String,w2d950 (arguments).join(“”) …

Такой код я нашел в 18-ти файлах в своем блоге. Соответсвенно, проверил остальные блоги, хостящиеся там же – результат неутешительный – вирь прописался везде.

Механизм заражения – через FTP с компьютера, имеющего этот самый FTP-доступ.

Посмотрев на строчки виря и их число сподобился написать регулярку для их отлавливания и, соответственно, удаления, а то вычищать 3000+ файлов, это как-то сильно долго.

Анекдот в тему:

Иногда, случается, что программист встает перед проблемой. И он думает:
“о, здесь я использую регулярные выражения!”. Теперь у него две проблемы.

В общем регулярка нашла и заменила все вирусо-строки во всех файлах ) за что ей и спасибо. Случайно набрел в инете на работу для фрилансеров – как раз вычистить такой вирус с чьего-то сайта….заняться что ли )))

Собственно регулярка

var [\w\d]+=\”\”;.+Array.prototype.slice.call.+

Вроде ничего лишнего в WordPress и Joomla не находит – только вирус. Я использовал NotePad++ чтобы применить ее ко всему хостингу.

Поделиться в соц. сетях

0

26 Comments for this entry

  • valera_bi says:

    ну ты крут :)

  • nord_tramper says:

    Кстати NOD32 добавил его в свои базы 02.03.2012 – свежачек можно сказать :D

  • ААаааа says:

    Что-то не пашет твоё выражение :-(

    • ААаааа says:

      Величайшее извиняюсь, у тебя двойные кавычки кривые оказались, а в целом регулярка адЦкая и пашет, как надо! :)

      var [\w\d]+=”";.+Array.prototype.slice.call.+

      Респектую.

      • ААаааа says:

        Ясно. Двигло блога коверкает первые двойные кавычки

        • nord_tramper says:

          Да, двигло блога попортило кавычки. Спасибо – поправлю )

          З.Ы. там еще можно добавить ^ в начало – чтобы он привязывался к началу строки, если лишнее находит

          • nord_tramper says:

            Поправил в посте, ну и сюда добавлю:
            var [\w\d]+=\”\”;.+Array.prototype.slice.call.+

            \ перед кавычками в самой регулярке не помешает

  • qwerty says:

    Доброй ночи. А можете дать, пожалуйста, более подробную инструкцию, что и куда? Думаю многим будет полезно.

    • nord_tramper says:

      “Инструкция” (как делал я):
      0. Проверяем свой комп на вирусы
      1. Скачиваем по FTP на локальный комп свой сайт (без всяких директорий с каритнками/закачками/и т.п., что не может содержать *.js файлы). Для WordPress исключил папочку uploads, для Joomla папочку Downloads от плагина JDownload
      2. Сохраняем эту копию (вдруг что-то сломаем)
      3. Меняем пароли на админку сайта.
      4. Берем Notepad++, он умеет обрабатывать файлы не по одному, а сразу все в папке.
      5. Поиск, закладка “Find in files” (Искать в файлах)указываем ему в поиске var [\w\d]+=\”\”;.+Array.prototype.slice.call.+
      6. Ставим галочку Regular Expression (Регулярные выражения), фильтр: *.js, выбираем папку с копией сайта
      7. Запускаем поиск и офигеваем от выдачи, попутно проверяя, чтобы в поиск не попали лишние строки (у меня не попали)
      8. Теперь делаем тоже самое, но вместо поиска делаем замену на пустую строку.
      9. Заливаем все обратно на хостинг.

  • rizvan says:

    Здравствуйте похожий вирус обнаружил на своём сайте.
    начинается–var y3ecb3=”";function или –var c6aa4a1=”";function
    в каждом таком коде присутствует это значение(=”";function) если его заменить на беспорядочный набор букв и цифр, это поможет в остановке функцианирование токого кода или же надо полностью удолять код.
    Пыталься удолить код как пишет ,nord_tramper, Спасибо за ответ)

  • M1zh0rY says:

    Господа. эта регулярка чистит не все файлы и задевает например jquery т.к. там есть подобная страна. я написал скрипт который чистит все js файлы (сталкивался с такой проблемой) сохраняя чистый файлы с расширение js а файлы с заразой сохраняя без расширения
    Это php код – его нужно запустить в корневом каталоге сайта 2 раза (первый раз он все должен вычестить а 2 раз для верности) вот ссылка (файл не зараза, поверьте!!) https://rapidshare.com/files/2632075905/clearTrojanJSscript.zip

    • M1zh0rY says:

      а регулярка все же другая немного т.к. код во всех js файлах совершенно разный (почти полность), я код анализировал и прешел к выводу единственное одинаковые части строки кода: “\\x68″, “\\x61r”, “\\x43o”, “\\x64″, “\\x65At”, “\\x43″, “\\x68″, “\\x61rCod”, “\\x64″, “\\x68″, “\\x86″, “\\x43″, “\\x61″, “\\x65″, “\\x61″, “\\x64″, “\\x65″

      • nord_tramper says:

        В Вашем случае возможно это и так. Вычищая конкретный вирус JS/Agent.NEK, мне было достаточно моей регулярки.

        З.Ы. Ну и там выше было написано – посмотреть на выдачу поиска, чтобы избежать таких случаев, как у Вас с jQuery (у меня ее регулярка не трогала)

    • nord_tramper says:

      Главное настроить хостинг на долгое выполнение скрипта, в стандартных 30 секунд, мне кажется, он не уложится

  • M1zh0rY says:

    Доброго времени суток! Новый скрипт для чистки сайта с обновленными сигнатурами https://gist.github.com/2359497

Leave a Reply to nord_tramper Cancel reply

Your email address will not be published. Required fields are marked *

*


*

Blowjob