ENG    РУС

Все заметки блога »

Вирус на сайте: Troj/JSRedir-LH в CMS Joomla, Wordpress и др.

Закажите лечение сайта и защиту от взлома у специалистов

Одним из наиболее частых троянов, о которых рапортует Яндекс, является Troj/JSRedir-LH. Данный вирус достаточно просто обнаружить и удалить. Типичными признаками и следами вируса являются:

  1.  Несколько десятков .php файлов с обфусцированными именами вида

    ./administrator/components/com_config/models/48052427a.php
    ./administrator/components/com_config/views/component/30721e4.php
    ./administrator/components/com_templates/views/prevuuw/5f8a7d015.php
    ./administrator/components/com_installer/5485.php
    ./administrator/components/com_modules/views/select/tmpl/f5dc30.php
    ./administrator/components/com_search/67af010.php
    ./templates/yoo_nano/styles/header/css/color1/92bb9cfa84.php

    Данные бэкдоры могут находиться в любых каталогах cms.
    Файлы бэкдоров обнаруживаются по фрагменту 
    @gzinflate(@base64_decode(@str_replace
  1. Один или несколько шеллов, которые обнаруживаются по фрагменту
    preg_replace("/.*/e

  2. Бэкдор images/j.php

  3. Иногда попадается спам-рассыльщик, который можно найти по фрагменту
    if(mail($MailTo,$MessageSubject,$MessageBody,$MessageHeader

  4. Несколько сотен зараженных .js файлов, в начале которых идет многострочная вставка вида

    //Author.ThickBox
    (function(){
    function stripos (f_haystack, f_needle, f_offset) {
    var haystack = (f_haystack + '').toLowerCase();
    var needle = (f_needle + '').toLowerCase();
    var index = 0;
    if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
    return index;
    }

    return false;
    }

    function ffff_listier_ua(){

    var nevernList = 'iPhone|Macintosh|Linux|iPad|Series40|SymbOS|Flock|SeaMonkey|Nokia|SlimBrowser|AmigaOS|Android|FreeBSD|Chrome|IEMobile|SymbianOS|Avant|Chromium|Firefox/18.0|Firefox/18.0.1|Firefox/17.0|Firefox/12.0|Firefox/25.0|Firefox/24.0|Firefox/18.0.2|Firefox/19.0|Firefox/19.0.1|Firefox/20.0|Firefox/21.0Firefox/22.0|Firefox/23.0|

    .... 

    })();

    //license

    Код начинается с комментария и заканчивается комментарием. Метки в комментариях могут меняться в зависимости от сайта. 
  1. Несколько сотен фрагментов ;;;;;;;;;;;;;;;;;;;;;; в конце .js файлов. Это остатки от вирусных вставок Troj/JSRedir-LH

    ;document.write(‘<script…’)

    которые, видимо, в виду ошибки в работе скрипта, не удаляют точку с запятой, поэтому каждая новая вставка добавляет этот символ в конце файла.

 

Вирус наиболее часто наблюдается на сайтах, работающих на cms Joomla и Wordpress.

 

P.S. все вредоносные файлы вируса Troj/JSRedir-LH детектируюся скриптом AI-BOLIT.

Читайте другие заметки блога.

Обсуждаем!

Подпишитесь на RSS: