Найти и удалить Trojan.JS.Redirector.ux. Новое имя старого знакомого

Владимир Вокстермен

Всем привет! Вот уж не думал, что снова встретимся! Да нет же, это я не вам, читатели «Первого блога альтруиста» — в нашей встрече я уверене, а новому вирусу, который называется Trojan.JS.Redirector.ux. Поражает он в основном сайты wordpress, а мне потом возись с ним. Но я-то думал, этот вирус новый, а он оказался тем же JS/RefC-Gen или Mal/Iframe-AD.

Как же я его узнал? Конечно же по вредоносному коду, который он в себе несет. Многие вирусы попадают к нам на сайт совершенно случайно, пробивают пороли FTP, а потом мануально (в ручную), но скорее всего автоматически, располагаются в удобном (вирусу) и неприметном (для нас) месте.

Обо всем по порядку, сначала пример кода, найдя который знайте — ваш сайт обязательно заражен Trojan.JS.Redirector.ux.

или

или

как найти вирус на сайте быстро
Как найти код вируса на сайте быстро?

1. Начинайте проверку с functions.php. Если код вируса есть, то скорее всего в самом низу файла. Также просмотрите сразу файл index.php.

Насчет index.php. Как вы знаете, такой файлик почти в каждой папке темы. Зачастую в нем написано всего лишь закомментированное «Silence is golden.» Но вот если index.php темы заражается, то заражаются все файлы index.php. Также это касается файлов с расширением .js.

2. Скачайте файлы темы wordpress на компьютер. Найдите скачанную папку Total Commander’ом. Кликните по ней правой клавишей мыши, выберите «Найти», далее «С текстом» и введите часть одного из кодов, описанных выше, например:

Внимание! Код в файле jquery.min.js — не вредоносный! Антивирус ClamAV постоянно называет этот абсолютно нормальный файл, как зараженный вирусом PUA.Script.Packed-1 или PUA.Script.Packed-2.

3. Самый брутальный, но очень действенный метод удаления вируса. Удаляем с хостинга все папки и файлы кроме:
— картинок и медиафайлов, вроде wp-content/uploads и image;
— robots.txt, .htaccess, sitemap.xml.gz, sitemap.xml и wp-config (не забываем проверить их на код);
— header.php, single.php и другие файлы темы, содержащие коды Яндекса, Google, Vkontakte и так далее (аналогично, проверяем на код вируса).
Потом перезаливаем wordpress, папку темы и закачиваем плагины. На всякий случай скачивал базы данных, проверял их, но не разу не находил там вирус. Готово.

как найти вирус на сайте
Как проверить сайт на вирус?

Существует ряд ресурсов для проверки сайта на вирус, посоветую три:

1. http://www.virustotal.com/
2. http://antivirus-alarm.ru/proverka/
3. http://xseo.in/viruscan/

мой первый раз
А как было у меня на этот раз?

Начнем с того, что две недели назад появился новый вирус wordpress Trojan.JS.Redirector.ux. Этому событию я уделил мало внимания, так как все мои сайты живы-здоровы и тема «удаление вируса с сайта wordress» хорошо раскрыта на «Первом блоге альтруиста».

И вот захожу я на один свой старенький сайт, который тоже вроде как жив-здоров, но касперский замечает в файлах-расцветках темы вредоносный код. Спокойно удаляю старую тему, нахожу более новую тему wordpress, заливаю ее на хостинг и несколько дней оптимизирую под контент сайта, а контент сайта делаю под тему.

Но через несколько дней, жму на RDS-бар, желая узнать дату последней индексации сайта гуглом, вместо даты стоит слово «Нет», нажав на которое, впадаю в ступор:

как удалить Trojan.JS.Redirector.ux с сайта

Выполнил все три пункта проверки, ни один из ресурсов проверки сайта не видит вирус, все вроде как хорошо, но… Включаю RDS-бар (на других сайтах работает исправно), жму на «Нет» индескации гугла и вижу картинку выше.

Только спустя несколько дней, понимаю, что вирус не на сайте, а в кэше (памяти) Google. Т.е. при последнем заходе, еще при «вирусной» теме поисковик запомнил, что сайт плох. А сайт бодр и здоров!

Чего желаю и вашим сайтам!

Все вопросы пишите в комментарии — с радостью отвечу. Буду благодарен, как и многие владельцы зараженных сайтов, за +1 или ретвит. А чтобы быть в курсе всех новостей сайта — подписывайтесь!

Удачи, пока.

Поставьте оценку автору!

Для меня это невероятно важно, а у вас займёт всего лишь один клик.

УжасноПлохоСреднеХорошоОлтично! (11 оценок)
Найти и удалить Trojan.JS.Redirector.ux. Новое имя старого знакомого
Загрузка...
59 Комментариев
  1. Максим
    МаксимОтветить
    22.12.2015 at 11:33

    Скажите а что за вирус который определяется как PHP.Hide

  2. Alex
    19.06.2014 at 13:37

    Спасибо большое за ответ! Но я не под АГС, а в индексе меня нет. Конечно я уже неоднократно написал в обе поддержки, но пока результатов ноль.

  3. Alex
    29.05.2014 at 12:53

    И еще один вопрос, в файлх сайта могут быть строки в которых фигурирует base64 без вреда для сайта.

    • ushi
      19.06.2014 at 13:24

      Могут быть и такие не вредоносные строки.

  4. Alex
    29.05.2014 at 08:46

    Здравствуйте! Прошу совет. Мой сайт взломали, напичкали разными вредностями и раассылали, а похоже и сейчас продолжают рассылать спам. Меня быстренько закрыли и в гугле и в яндексе. После того как я, что смог поудалял, гугл снова меня видит. Яндекс молчит. Хочу вас спросить,можно ли как нибудь определить возможно востановить сайт или бороться уже бесполезно? А сейчас как я понимаю на сайт идет еще и DDOS атака. Проссто столько сил вложено в форум прикрепленный к сайту, что снова уже не согу начать заново. Спасибо большое за хорошую статью и заранее большое спасибо за ответ!

    • ushi
      19.06.2014 at 13:23

      Здравствуйте!

      Во-первых, отправьте письмо Платонам из Яндекса, скажите, что ваш сайт очищен от вирусов.
      Во-вторых, прекратите переживать. Мой блог выходил их АГС около 2-3 месяцев, а по выходу вернули и тИЦ десятку.

      Успехов!

  5. анатолий
    анатолийОтветить
    20.05.2014 at 20:33

    Добрый вечер.
    просмотрел статью.
    интересный материал.
    Спасибо.
    проверил сайты, ничего не нашёл.

    а что скажете по поводу этих вирусов:
    HTML:Redirector-BV[Trj]
    HTML:Redirector-BW[Trj]

    приходит на почту сайта,
    «Get Permanent Forum Links To Improve Web Presence»
    от «Forum Submission Service» и различные_адреса@gmail.com

    и обнаруживается c avast, глушит его, и только при испрользовании Microsoft Outlook в стационарном компе.

    больше нигде, ни на сервере, ни на мобильных его и не видно

    Сможете подсказать, что это и как его?

    Спасибо.

Добавить комментарий

Ваше сообщение*

Имя*
Email*
Сайт