Come forse saprete circolano dei “virus” (in realtà il termine è improprio) che si diffondono tramite siti web ai naviganti e dai naviganti ad altri siti web.. ci sono molti modi in cui si diffondono, ma non entrerò nei particolari.
C’é un particolare virus che circola in questi giorni e che sta mietendo numerose vittime (a ripetizione, tra l’altro!) e spero di fare la felicità di qualche webmaster pubblicando quello che è uno dei pochi rimedi (che non ho trovato online, la regex l’ha sviluppata una software house ovviamente dietro compenso) per poter ripristinare velocemente i siti colpiti.
Cosa fa questo virus? In pratica si intrufola nei file sorgenti di molte pagine web e ne cambia la prima riga di contenuto con un comando particolare che fa sì che visualizzando la pagina, il pc di chi la visualizza venga infettato.
In teoria il sistema dovrebbe essere trasparente, cioé non dovrebbe danneggiare il sito, in realtà, molto spesso, dato che si tratta di un’operazione automatica, vengono fatti danni notevoli alle pagine dei siti infettati, alcuni in modo da renderli non più operativi.
Per porre rimedio a tutto ciò spesso basterebbe ricaricare sul server una versione precedentemente salvata dei file infettati, dato che però la realtà è un po’ più complicata, spesso i file sono vecchi o i backup non sono sempre aggiornati. Per evitare di doversi scorrere a mano le migliaia di file che compongono una installazione di WordPress o di Joomla! colpita dal virus c’é un sistema molto più rapido.
Basta dotarsi di un programmino semplice semplice che faccia il replace di “stringhe di testo” nei file sorgenti del sito, io consiglio di usare “text crawler”, piccolo, semplice, GRATUITO ed efficace.
A questo punto però serve un altro strumento fondamentale: infatti i file di testo contengono stringhe del virus sempre diverse, quindi difficilmente rintracciabili e cancellabili automaticamente con una semplice ricerca, bisogna usare qualcosa di più sofisticato.
Le Regular Expression ci vengono in aiuto: text crawler ha la possibilità di cercare nel testo tramite regex e quindi ci può aiutare a rimuovere il virus in breve tempo.
La regular expression da utilizzare in questo caso è: \$somecrainsignvar\s*=.*?\$crain=””;
Rimpiazzando quanto sopra con “null” (nessun carattere) il gioco è fatto e il sito potrà essere ricaricato in breve tempo senza grossi problemi.
Attenzione, ci sono alcune varianti del virus che fanno anche altre cose, ovviamente bisogna variare la regex di conseguenza!
Spero di esservi stato utile e di avervi risparmiato ore e ore di lavoro.
p.s. text crawler lo potete scaricare da qui: http://www.digitalvolcano.co.uk/content/textcrawler