Новите вируси на Новата година
Рано сутринта мой клиент тестващ един от сървърите ми се оплака, че няма достъп до тест сайта си. След бърз опит да стигна до сайта aVast! изплака, че сайта е заразен с вирус (в случая троянец) JS:Illredir-B [Trj]. След няколкочасово ровене с Google и пресяване на информацията, стигнах до решението – както винаги съм казвал – топлата вода не сме я измислили ние и е крайно време да се научим да я ползваме. Намерих елементарен PHP скрипт който изчиства ВСИЧКИ инжектирани файлове и спестява доста мъки при липса на скорошен архив. Предвид, че сървърът е в тестов период – почистването също беше с експериментална цел – не е проблем да се инсталира на ново всичкият работещи уебсофтуер, но все пак трябваше да имам и някаква представа какво би се случило при липсата на архив. Скрипта за който говоря е безплатен, публикуван под GNU/GPL лиценз и след малко ровене може да бъде намерен на оригиналният си адрес. За да спестя излишното ровене – предоставям за изтегляне Tool to remove JS:Illredir-B [Trj]. След “автоматизираното” почистване на уебстраницата с предложеният инструмент препоръчвам ЗАДЪЛЖИТЕЛНА промяна на паролата за FTP достъп до уебсайта, но след надлежна проверка за налични инфекции на всички компютри от които се администрира уеб страницата!
Важни уточнения:
1. Проблемите се наблюдават основно на компютри работещи под Windows операционна система
2. Проблеми под Linux не съм забелязал
3. Почистващият .php файл се разархивира в главната папка на домейна и се стартира през някой браузър – Firefox, IE, Safari, Chrome или който и да е…, препоръчвам да се преименува на нещо по-кратко 🙂
4. Avast прехваща и блокра опит за достъп до инжектирани страници, но това не е гаранция, че вече не сте си омазали прозореца…
5. Посоченият и предложен от мен скрипт НЕ изчиства изцяло файловете – оставя една сигнатура накрая, която не пречи, но е желателно да бъде “отстранена”!