Буквально на днях столкнулся с новым (*?) вариантом спам-вируса для веб-сайтов. Гугл определяет его как «Внедрение через URL».
Описание
На вашем сайте появляются ссылки которых не было и быть не могло — вы, например, четко знаете структуру сайта и оригинальный вид URL, который отличается от «левых» URL. В частности, в индексе поисковиков появляются ссылки вида:
Поиск и устранение
Яндекс-Вебмастер пока не реагирует на них, а вот в инструментах Гугла для вебмастеров выдается предупреждение о возможном взломе сайта. Там же даны рекомендации по поиску. К сожалению они довольно общие и конкретный поиск проблемы занимает время. Антивирусы и он-лайн анализаторы сайтов — результата не дают. Только ручками.
Вариант А: Код не обфусцирован
- Ищем в исходниках кто и как у нас пользует переменную $_GET[‘jn’]
- Далее по коду смотрим кто где гадит (например: jsswfuploadpluginsjquery)
Вариант Б: Код обфусцирован
- Ищем каталог с файлами, названия которых идут после "?jn="
- Ищем подозрительные исполняемые файлы типа images/c0nfv.php
- Проверяем дату jquery.php и сравниваем ее с датой обнаружения вируса по мониторингу инструментов вебмастеров Гугла.
Встречается
- CMS: Joomla, WordPress, DLE
- Plugins: ImageZoomer, SWFupload
- Велика вероятность появления практически во всех плагинах, которые используют JQuery и в тех местах, где у админов ручки не дошли до настройки.
Полный код (необфусцированного) зловредного кода под катом.
Читать дальше →