JavaScript вирусы – первое знакомство (надеюсь последнее) |
Вчера NOD32 моего друга поймал вирус при обращении к этому блогу О_о Что характерно, мой NOD на ноуте и Symantic на работе ни разу не ругнулись. JS/Agent.NEK – вот имя этого злодея.
В интернетах нашел, что из себя представляет этот зверь:
В конце *.js файлов появляется строчка(несколько) вида
var cfd4324=”";function jc9fedf1309c1(){var de86524=String,w2d950 (arguments).join(“”) …
Такой код я нашел в 18-ти файлах в своем блоге. Соответсвенно, проверил остальные блоги, хостящиеся там же – результат неутешительный – вирь прописался везде.
Механизм заражения – через FTP с компьютера, имеющего этот самый FTP-доступ.
Посмотрев на строчки виря и их число сподобился написать регулярку для их отлавливания и, соответственно, удаления, а то вычищать 3000+ файлов, это как-то сильно долго.
Анекдот в тему:
Иногда, случается, что программист встает перед проблемой. И он думает:
“о, здесь я использую регулярные выражения!”. Теперь у него две проблемы.
В общем регулярка нашла и заменила все вирусо-строки во всех файлах ) за что ей и спасибо. Случайно набрел в инете на работу для фрилансеров – как раз вычистить такой вирус с чьего-то сайта….заняться что ли )))
Собственно регулярка
var [\w\d]+=”";.+Array.prototype.slice.call.+
Вроде ничего лишнего в WordPress и Joomla не находит – только вирус. Я использовал NotePad++ чтобы применить ее ко всему хостингу.
Комментировать | « Пред. запись — К дневнику — След. запись » | Страницы: [1] [Новые] |