Usuwanie wirusa PHP/Kryptik.AB koń trojański

Dzisiaj zetknąłem się z bardzo nietypowym koniem trojańskim. ESET NOD32 wykrywa go jako PHP/Kryptik.AB koń trojański. Głównym działaniem niepożądanym jest niemożność wejścia do globalnej konfiguracji naszej strony. Zamiast niej pojawia nam się niekompletna templatka... oraz tytuł strony, który bardzo mnie zaciekawił: Buy original software! with Discount 70-80% Price off

A teraz najciekawsze: po wpisaniu tej frazy w Google: Buy original software! with Discount 70-80% Price off otrzymujemy takie wyniki:

Oczywiście pod zakrytym czarnym paskiem znajduje się nasza strona niemająca nic wspólnego ze sklepem internetowym sprzedającym oprogramowanie. Ktoś pozycjonuje sobie sklep za pomocą naszej strony!!!

Po ściągnięciu całej strony na dysk i przeskanowaniu jej ESET-em, wykrył on wirusa w pliku /libraries/joomla/session/storage/func.php.

Sposób leczenia:

  1. Wykonujemy kopię strony (najlepiej za pomocą Akeeba Backup)!!!
  2. Kopiujemy na dysk plik: \libraries\joomla\session\storage\sess.php
  3. Usuwamy katalog \libraries\joomla\session
  4. W miejsce tego usuniętgeo katalogu kopiujemy oryginalny katalog \libraries\joomla\session z paczki instalacyjnej Joomla w wersji, która jest na naszej stronie.
  5. Kopiujemy z naszego dysku plik sess.php do \libraries\joomla\session\storage na serwerze
  6. To wszystko:-)