Буквально на днях столкнулся с новым (\*?) вариантом спам-вируса для веб-сайтов. Гугл определяет его как «Внедрение через URL».

##### **Описание**

На вашем сайте появляются ссылки которых не было и быть не могло — вы, например, четко знаете структуру сайта и оригинальный вид URL, который отличается от «левых» URL. В частности, в индексе поисковиков появляются ссылки вида:

> [www.site.ru/?jn=xxxxxxxx][1]



##### **Поиск и устранение**

Яндекс-Вебмастер пока не реагирует на них, а вот в инструментах Гугла для вебмастеров выдается предупреждение о возможном взломе сайта. Там же даны рекомендации по поиску. К сожалению они довольно общие и конкретный поиск проблемы занимает время. Антивирусы и он-лайн анализаторы сайтов — результата не дают. Только ручками.

##### **Вариант А: Код не обфусцирован**



1. Ищем в исходниках кто и как у нас пользует переменную $\_GET['jn']
2. Далее по коду смотрим кто где гадит (например: \\js\\swfupload\\plugins\\jquery\\)



##### **Вариант Б: Код обфусцирован**



1. Ищем каталог с файлами, названия которых идут после "?jn="
2. Ищем подозрительные исполняемые файлы типа images/c0nfv.php
3. Можно сделать поиск путей где могут быть файлы а-ля "/img/icon/thumb/jquery.php"
4. Проверить дату изменения конфигов CMS
5. Рекомендуется проверить на наличие (корректность) файлов base.php — это само тело вируса, код обфусцирован
6. Проверяем дату jquery.php и сравниваем ее с датой обнаружения вируса по мониторингу инструментов вебмастеров Гугла.



##### **Встречается**



* CMS: Joomla, WordPress, DLE, PrestaShop, HostCMS
* Plugins: ImageZoomer, SWFupload, BlockCategories
* Велика вероятность появления практически во всех плагинах, которые используют JQuery и в тех местах, где у админов ручки не дошли до настройки.

Полный код (необфусцированного) зловредного кода под катом. [Читать дальше →][2]

[1]: http://www.site.ru/?jn=xxxxxxxx
[2]: http://habrahabr.ru/post/246353/#habracut