Сайт на Joomla - заражен Trojan.JS.Iframe.wq
Кратко и по теме. В очередной раз прокатилась (или только началась?) эпидемия заражения индексных страниц сайтов вирусом типа Trojan.JS.Iframe.wq. Что оно за тварь такая, разбираться не хочу, достаточно, что Касперский блокирует подобные сайты.
Если они чужие, тогда все-равно 
Но если оказывается, что твои сайты заражены Trojan.JS.Iframe.wq, тогда очень желательно сесть и подумать, что же собственно происходит. Знаменательно, что в подобных случаях начинают грешить на хостера, мол, увели базу данных, пароли и прочая и прочая и прочая. Я не хочу с этого начинать, просто объективно расскажу о своих предположениях.
Предположение о том, что заражаются сайты, работающие с Сапой (платное размещение ссылок), причем роботом этой же самой Сапы, тоже смысла не имеет, потому что заражению подверглись не только сайты, размещающие ссылки, но и абсолютно чистые в этом отношении сайты. Даже те, где стояла только одна индексная страница от хостера и никакой информации больше не было.
Что касается заражения, то на зараженных страницах типа index.php размещался участок кода, закодированный в Base64, привожу его полностью, как он был в моем случае:
#a8998e#
вредный код
#/a8998e#
Если подобное было и раньше, и объяснялось тем, что проникший на компьютер троян использовал существующие ftp-подключения для модификации страниц index.php и index.html, то сейчас обработке подвергаются все страницы, написанные на HTML и ключевые страницы сайтов на движках Joomla, WordPress и DLE.
На этот раз вирус прячется в файлах, содержащих слова:
index
header
footer
Так, для Вордпресса код вируса был добавлен на страницы wp-login.php и wp-blog-header.php (не считая индексной). Кроме того работа по внесению вредоносного кода была проделана во всех папках Вордпресс, так что проще было его перелить заново, чем искать модифицированные страницы.
Теперь основное. Прошлый раз причиной подобного заражения индексных страниц был вирус, проникший на компьютер и использовавший программу CuteFTP для модификации. На этот раз вируса не было, а заражение прошло. Посольку пароли доступа к хостингу я не считал нужным менять, то объяснения очень просты: существует база данных взломаных сайтов, которой пользуются злоумышленники при запуске скрипта, модифицирующего страницы сайтов.
Кстати, ссылки, которые внедряются в HTML-страницы, ведут на сайт a.cf-google-analytics.ru/main.php, интересно, регистратор знает, что этот сайт используется в целях распространения вредоносных программ?
Вирус в WordPress нужно удалить в этих файлах:
/index.php
/wp-login.php
/wp-admin/menu-header.php
/wp-admin/admin-header.php
/wp-admin/admin-footer.php
/wp-admin/index.php
/wp-content/index.php
/wp-content/themes/index.php
/wp-content/themes/my-cool-theme/index.php
/wp-content/themes/my-cool-theme/header.php
/wp-content/themes/my-cool-theme/footer.php
Сайт на Joomla - заражен Trojan.JS.Iframe.wq - Генератор расширений Joomla и многое другое на нашем сайте посвященном работе расширений, компонентов, модулей, плагинов для линейки Joomla. Отправляйте ссылку на страницу своим друзьям и в социальные сети воспользовавшись графическими иконками выше.
