Заражение js-скриптов

UPD 01.03.2013: Я закрыл возможность комментирования данной записи. Все вопросы по данной теме задавайте на http://ask.sabini.ch. Благодарю за понимание.

Сегодня был свиделем следующего внедрения вредосного кода в js-файлы.

Путь попадания все тот же — ftp.

function g(){ <..часть кода удалено..> var e=new Date <..часть кода удалено..> etTime()+(2592000000));

if(!g()&&windo <..часть когда удалено..> src="http://mainscript.org/mainscript.js"></script>');}

Не совсем уверен в красивости решения, но целиком выкусить код одной командой не удалось. Настоятельно рекомендую сделать резервное копирование файлов перед выполнением следующих команд

find ./ -type f -name "*.js" -exec perl -pi -e 's/function.*00\)\)\;//g''' '{}' \;
find ./ -type f -name "*.js" -exec perl -pi -e 's/if.*\)\;\}//g''' '{}' \;

Возникли проблемы или трудности, то справа наконец-таки отображается для всех посетителей все возможные средства связи со мной.

Другие публикации по теме:

Мошенники в действии Решил начать новый год с разбора почтового ящика, где накопилось просто непомерно большое количество непрочитанных писем.На текущий момент уже уда...

Поделиться информацией с друзьями!

Чтобы не пропустить обновления, подпишись на RSS или почтовую рассылку (свой выбор сделали уже 128 человек!)

4 комментария к «Заражение js-скриптов»

  1. Это не решит проблему, так как вы не устранили источник заражения, проблема повториться скорее всего в течение суток. По крайней мере у меня так было

  2. Здравствуйте, также был атакован вирусом. Сделал откат сайта, поменял пароли, изменил префиксы бд, и.т.д, google убрал с моего сайта пометку о заражении, а яндекс не хочет, клиентская служба ответила что на моем сайте на главной страницы обнаружен следующий код:funct…);
    if(!g(…ript>’);}
    Сайт написан на джумле вот адресс:http://briz.kr.ua/. Подскажите как с помощью вашего скрипта можно удалить данный вирус?

  3. Та же ситуация. Все файлы *.js заражены . Делал откат сайта, через пару дней все заново. Хостинг сутки молчит. Буду видимо звонить и требовать ответа.
    Можно вкратце, как запустить предложенный вами код на своем сайте ?

    • Для этого требуется авторизоваться на сервер по ssh. На хостингах в основном эта возможность отключена.

Оставить комментарий