На одном подконтрольном мне сайте появилась подозрительная приписка. Прямо на главной странице. Некий код на JavaScript, зашифрованный по самые фигурные скобки. Ну, думаю, бывает. Почистил, успокоился. Через часок решил проверить - как оно там? А «оно» снова на месте! Вот ведь упорная зараза, и где только сидит? Удалил, призадумался. Копию сохранил на себе диск, проверил антивирусом.
Trojan-clicker.js.agent.h. Описания в Интернете не водится. Что ж, будем использовать народную медицину.
Что нам известно? Другими файлами эта зараза побрезговала. А это, если подумать, существенно упрощает дело. Достаточно сделать копию файла
index.php под названием, допустим,
ya_ne_ya_i_script_ne_moi.php. И применим старую добрую мантру mod_rewrite в
.htaccess:
RewriteRule index.php ya_ne_ya_i_script_ne_moi.php. Вуаля! Осталось подождать час...
Спустя час эта гадость снова вписалась в
index.php. А выдаваемый сервером вместо него
ya_ne_ya_i_script_ne_moi.php остался цел и невредим. В общем, все довольны: вирус думает, что он сделал, что хотел, а посетители больше не рискуют получить от сайта какую-то гадость.