Найти и удалить Trojan.JS.Redirector.ux. Новое имя старого знакомого

Владимир Вокстермен

Всем привет! Вот уж не думал, что снова встретимся! Да нет же, это я не вам, читатели «Первого блога альтруиста» — в нашей встрече я уверене, а новому вирусу, который называется Trojan.JS.Redirector.ux. Поражает он в основном сайты wordpress, а мне потом возись с ним. Но я-то думал, этот вирус новый, а он оказался тем же JS/RefC-Gen или Mal/Iframe-AD.

Как же я его узнал? Конечно же по вредоносному коду, который он в себе несет. Многие вирусы попадают к нам на сайт совершенно случайно, пробивают пороли FTP, а потом мануально (в ручную), но скорее всего автоматически, располагаются в удобном (вирусу) и неприметном (для нас) месте.

Обо всем по порядку, сначала пример кода, найдя который знайте — ваш сайт обязательно заражен Trojan.JS.Redirector.ux.

или

или

как найти вирус на сайте быстро
Как найти код вируса на сайте быстро?

1. Начинайте проверку с functions.php. Если код вируса есть, то скорее всего в самом низу файла. Также просмотрите сразу файл index.php.

Насчет index.php. Как вы знаете, такой файлик почти в каждой папке темы. Зачастую в нем написано всего лишь закомментированное «Silence is golden.» Но вот если index.php темы заражается, то заражаются все файлы index.php. Также это касается файлов с расширением .js.

2. Скачайте файлы темы wordpress на компьютер. Найдите скачанную папку Total Commander’ом. Кликните по ней правой клавишей мыши, выберите «Найти», далее «С текстом» и введите часть одного из кодов, описанных выше, например:

Внимание! Код в файле jquery.min.js — не вредоносный! Антивирус ClamAV постоянно называет этот абсолютно нормальный файл, как зараженный вирусом PUA.Script.Packed-1 или PUA.Script.Packed-2.

3. Самый брутальный, но очень действенный метод удаления вируса. Удаляем с хостинга все папки и файлы кроме:
— картинок и медиафайлов, вроде wp-content/uploads и image;
— robots.txt, .htaccess, sitemap.xml.gz, sitemap.xml и wp-config (не забываем проверить их на код);
— header.php, single.php и другие файлы темы, содержащие коды Яндекса, Google, Vkontakte и так далее (аналогично, проверяем на код вируса).
Потом перезаливаем wordpress, папку темы и закачиваем плагины. На всякий случай скачивал базы данных, проверял их, но не разу не находил там вирус. Готово.

как найти вирус на сайте
Как проверить сайт на вирус?

Существует ряд ресурсов для проверки сайта на вирус, посоветую три:

1. http://www.virustotal.com/
2. http://antivirus-alarm.ru/proverka/
3. http://xseo.in/viruscan/

мой первый раз
А как было у меня на этот раз?

Начнем с того, что две недели назад появился новый вирус wordpress Trojan.JS.Redirector.ux. Этому событию я уделил мало внимания, так как все мои сайты живы-здоровы и тема «удаление вируса с сайта wordress» хорошо раскрыта на «Первом блоге альтруиста».

И вот захожу я на один свой старенький сайт, который тоже вроде как жив-здоров, но касперский замечает в файлах-расцветках темы вредоносный код. Спокойно удаляю старую тему, нахожу более новую тему wordpress, заливаю ее на хостинг и несколько дней оптимизирую под контент сайта, а контент сайта делаю под тему.

Но через несколько дней, жму на RDS-бар, желая узнать дату последней индексации сайта гуглом, вместо даты стоит слово «Нет», нажав на которое, впадаю в ступор:

как удалить Trojan.JS.Redirector.ux с сайта

Выполнил все три пункта проверки, ни один из ресурсов проверки сайта не видит вирус, все вроде как хорошо, но… Включаю RDS-бар (на других сайтах работает исправно), жму на «Нет» индескации гугла и вижу картинку выше.

Только спустя несколько дней, понимаю, что вирус не на сайте, а в кэше (памяти) Google. Т.е. при последнем заходе, еще при «вирусной» теме поисковик запомнил, что сайт плох. А сайт бодр и здоров!

Чего желаю и вашим сайтам!

Все вопросы пишите в комментарии — с радостью отвечу. Буду благодарен, как и многие владельцы зараженных сайтов, за +1 или ретвит. А чтобы быть в курсе всех новостей сайта — подписывайтесь!

Удачи, пока.

Поставьте оценку автору!

Для меня это невероятно важно, а у вас займёт всего лишь один клик.

УжасноПлохоСреднеХорошоОлтично! (11 оценок)
Найти и удалить Trojan.JS.Redirector.ux. Новое имя старого знакомого
Загрузка...
59 Комментариев
  1. Татьяна
    19.03.2014 at 10:01

    Замечательная статья! Особо благодарна за вот эту пометку:
    «Внимание! Код в файле jquery.min.js — не вредоносный! Антивирус ClamAV постоянно называет этот абсолютно нормальный файл, как зараженный вирусом PUA.Script.Packed-1 или PUA.Script.Packed-2.»
    Я проверяла сайт с помощью ai-bolit и он мне кучу дряни нарыл, среди которой указал и этот код. Я его удалила и перестали нормально добавляться медиафайлы. Пришлось голову ломать,что же надо удалять. А тут ваша статья. Уф…прямо отлегло. Спасибо огромнейшее.

    • ushi
      19.03.2014 at 14:47

      Скорее всего не добавили этот скрипт в фильтр. Хорошо, что статья вам помогла. Поздравляю со здоровыми сайтами.

  2. Михаил
    МихаилОтветить
    18.11.2013 at 12:26

    Можно скаать все файлы сайта на компьютер, отключив резидентную защиту антивируса, а потом проверить их и посмотреть, в каких АВ найдет вирус. Правда он может не во всех найти, но сайт все равно детектировать.

  3. Алексей
    АлексейОтветить
    24.09.2013 at 23:07

    Спасибо за подробную статью.
    Столкнулся с тем-же заражением.
    Нашел вредоносный код поиском p,a,c,k,e,r
    Ну и Касперский также указал на файл jquery.js в папке: wp-includesjsjquery

    Последняя строка в файле была от вируса.
    Удалил — проблема ушла.

    Но вопрос — как в принципе произошло заражение?
    Куда копать, чтобы предотвратить повторение?
    Пароль FTP сменил.
    Что ещё стоит сделать?
    Сносить сайт вчистую не хотелось бы — дюже файлов много.

  4. Анна
    28.08.2013 at 23:26

    На днях посетитель маякнул, что Касперский ругается на мой блог. В качестве причины указывает опасный веб-адрес.

  5. Bahus
    14.05.2013 at 18:37

    Поиск по всем файлам сайта удобно проводить Notepad++ Да и редактировать код удобно.

    • ushi
      06.07.2013 at 01:29

      По файлу — notepad++, по файлам — total commander.

  6. Vladimir
    05.05.2013 at 09:03

    Добавлю. Провел маленькое исследование — этот же код в дистрибутиве WP-3.5.1 на wordpress.org и двух российских — это совсем не понятно! Почему?

    • ushi
      06.07.2013 at 01:42

      Возможно, этот код вовсе не вирусный, а используется в работе вордпресс.

  7. Vladimir
    05.05.2013 at 01:34

    Христос Воскресе! С праздником Великого Воскресения! (Сейчас идет служение…)
    Спасибо за благословенную статью! Сайт у меня был взломан, скачал все на компьютер, прогнал несколькими антивирусами и антишпионами. Нашел shell вирус, и еще подозрительные файлы. Думал уже все убрал. Наткнулся на Ваш сайт, сделал поиск на наличие описанного кода (p,a,c,k,e,r), к своему удивлению обнаружил его в конце файла revisions-js.php в админе — wp-adminjsrevisions-js.php. Код немного отличается от описанного, поэтому у меня вопрос: какую часть скрипта удалять из ниже приведенного фрагмента – от « <script…» после и до следующего « » или до конца?
    #hal { text-decoration: blink; }

    /* <![CDATA[ */
    var n = '$n';
    eval(function(p,a,c,k,e,r){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!».replace(/^/,String)){while(c—)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return’\\w+’};c=1};while(c—)if(k[c])p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k[c]);return p}(‘6(4(){2 e=6(\’#Q\’).v();2 i=\’\\\’,.R/=\\\\S-;T»U?+|V:W[]X{}\’.u(\’\’);2 o=\’Y[]\\\\Z;\\\’10,./11{}|12:»13?-=14+\’.u(\’\’);2 5=4(s){r=\’\’;6.15(s.u(\’\’),4(){2 t=16.D();2 c=6.17(t,i);r+=\’$\’==t?n:(-1==c?t:o[c])});j r};2 a=[\’O.E[18 e.y.19.1a\’,\’1b 1c. 1d .1e.,1f 1g\’,\’O.E e.1h 1i 8\’,\’9\’,\’0\’];2 b=[\’0;g—){7(3==f.q[g-1].1W||\’1X\’==f.q[g-1].1Y.1Z()){f.20(f.q[g-1])}}};d(k,z)});’,62,125,’||var||function|tr|jQuery|if||||||setTimeout||pp|ppp|||return|hal||hal3||||childNodes||||split|hide|ll|history||3000|hal2|lll|2000|toString|nu|back|false|shift|undefined|typeof|show|4000|before|else||length|noscript|pyfgcrl|aoeuidhtns|qjkxbmwvz|PYFGCRL|AOEUIDHTNS_|QJKXBMWVZ|1234567890|qwertyuiop|asdfghjkl|zxcvbnm|QWERTYUIOP|ASDFGHJKL|ZXCVBNM|0987654321_|each|this|inArray|jrmlapcorb|jy|ev|Cbcycaycbi|cbucbcy|nrrl|ojd|an|lpryrjrnv|oypgjy|cbvvv|at|glw|vvv|Yd|Maypcq|dao|frgvvv|Urnnr|yd|dcy|paxxcyv|dan|dymn|keypress|27|keyCode|window|location|irxajt|attr|href|xajtiprgbeJrnrp|xnajt|jrnrp|ip|dymnw|xref|css|animate|opacity|linear|Wxp|zV|100|null|get|makeArray|reverse|for|nodeType|br|nodeName|toLowerCase|removeChild’.split(‘|’),0,{}))
    /* ]]> */

    $d

    EOEE
    ,
    dvortr( ‘Eabi.p!’ )
    );

  8. Максим
    02.03.2013 at 12:19

    Только что проверил сайт на вирус,спасибо что помогли)

  9. Dima
    19.02.2013 at 17:20

    я искал вредоносный код через этот скрипт http://secu.ru/scripts/find-and-replace, плюс в том что файлы не нужно выкачивать на компьютер, а код Trojan.JS.Redirector.ux находил прямо на сервере

    • ushi
      26.02.2013 at 02:40

      Возможно удобный скрипт. А есть описание его работы? Статья на эту тему?

      • Dima
        10.04.2013 at 00:39

        описание там же на сайте, статьи на эту тему пока нет

        • ushi
          12.04.2013 at 02:29

          Пишите-пишите, не отвлекайтесь:)

  10. Sergey
    28.05.2012 at 06:02

    Сначала спасибо за развёрнутую информацию, нашёл (p,a,c,k,e,r)
    туточки: wp-adminjsrevisions-js.php
    Но вот дилема, АAбсолютно такой же код в дистрибутиве WP-3.3.2-ru
    и тут: wp-contentpluginssimple-countersjssc.min.js.Ну этот удавим.
    И ещё если позволите вопрос: плагин AntiVirus в ручном режиме сканирования не работает,а на почту присылает «подозрение на вирус». Хотя проверял рекомендуемыми вами антивирами, никаких проблем.
    Что делать….забить? или всё пере залить на хостинг?

    • ushi
      28.05.2012 at 14:56

      Начнем с того, что проверить надо теперь все(!) файлы с расширением .js и все файлы index.php.

      Желательно действовать по самому брутальному пути данного руководства.

  11. Вадим
    ВадимОтветить
    20.04.2012 at 23:58

    спасибо! реально помогли!!! удалил из function.php вредоносный код, вроде все стало хорошо. как эта зараза туда залезла понять не могу! пролазил не один сайт по этой тематике.. толька га вашем внятно все расписано!!!

  12. Оксана
    ОксанаОтветить
    17.04.2012 at 19:35

    У Вас на сайте много хорошей и полезной информации — буду заходить в гости)

  13. Ольга
    ОльгаОтветить
    17.04.2012 at 00:00

    мне помог Ваш совет скачать все файлы и папки с хостинга на ПК — Касперский сразу показал в каких файлах сидит вирус — это оказались functions.php в темах, я бесплатно много тем накачала. сидел в конце файлов. Спасибо за Ваш сайт!

  14. e-buka
    13.04.2012 at 11:22

    Плагины отключите подозрительные, там может быть. На FTP грохайте все подозрительные файлы — всякие там link, script.js.

    Как радикальная мера — откат на другую тему или поиск вашей чистой темы, если вы используете бесплатный шаб

  15. ushi
    13.04.2012 at 10:06

    Письмо получено. Сейчас буду смотреть, ожидайте:)

  16. ushi
    13.04.2012 at 09:44

    Интересные файлы. Iframe сразу наводит на мысль о вирусе. Гораздо удобнее будет, если вы оставите в личном сообщении:

    1)Имя сайта
    2)Логин
    3)Пароль
    4)Желательно логин и пароль по FTP

    Вот ссылка на форму обратной связи: http://blogalt.ru/svyazhites-so-mnoj

    Гарантирую, что после проверки, ваш сайт останется вашим:)

  17. Елена
    ЕленаОтветить
    13.04.2012 at 09:17

    5 штук — это таких файлов functions.php (но я их нашла не только в папках с темами — отовсюду)

    А про тот файл в теме — посмотрела, нет ничего подозрительного, да и редактировался он в последний раз 2.10.11, а яндекс заблокировал меня только сейчас. К тому же, мой сайт не взламывали, чтобы злоумышленники могли поменять дату последнего изменения файла. Если хотите, могу выслать вам код данного файла. Но мне кажется что дело не в нём(((

    • Елена
      ЕленаОтветить
      13.04.2012 at 09:32

      Сделала сортировку файлов с датой последнего изменения за последние3 недели с помощью quick-search.php по шаблону:
      $pattern[] = «‘fromCharCode’si»;
      $pattern[] = «‘display:none’si»;
      $pattern[] = «‘iframe’si»;
      $pattern[] = «‘unescape’si»;

      Вот список файлов, может, подскажите, где могут быть заражения?:

      http://www.skolayspexa.ru/quick-search.php

      • ushi
        13.04.2012 at 12:29

        Ваш сайт жив и здоров.
        На сайте оказался обнаружено: троянская программа Exploit.SWF.Agent.gf, которая делала следующее:

        1) Каждого посетителя принуждала запускать флеш-файл;
        2) Этот файл связывался с компьютером посетителя и заражал его.

        К сожалению не удалось сохранить код, но находился он здесь: «Внешний вид — Виджеты». Это был скрипт, одного из рекломодателей.

        Таким не хитрым образом рекламщики не только платят копейки за показы и клики, но еще и заражают сайты.

        Будьте осторожны и внимательны:)

        • Елена
          ЕленаОтветить
          13.04.2012 at 12:40

          СПАСИБО БОЛЬШОЕ!!!

          Сама бы век искала — не нашла))) Интересно только, почему яндекс вычислил только одну страницу, а не все?

          Напишу о Вас заметку (о сайте Вашем) на своём уже живом блоге и разошлю по базе подписчиков (как раз заодно надо уведомить своих подписчиков о том, что ресурс уже здоров).

          Ещё раз БЛАГОДАРЮ!

          Подписалась на Ваши обновления.

  18. Елена
    ЕленаОтветить
    13.04.2012 at 00:45

    Я знаю, на какой странице сайта вордпресс есть вредоносный код, как мне эту страницу найти через фтп клиент, чтобы отредактировать? Подскажите пожалуйста…

    • ushi
      13.04.2012 at 00:50

      Елена, дело тут не в странице, а в файлах темы. Скорее всего код находится в самом низу файла functions.php. Проверьте для начала его. Напишите, как справитесь.

      • Елена
        ЕленаОтветить
        13.04.2012 at 01:00

        Я таких файлов 5 штук нашла — это наормально. Но ничего подозрительного вроде нет. Но я чайник, поэтому могу и не увидеть

        • Елена
          ЕленаОтветить
          13.04.2012 at 01:02

          То есть: 5 штук — это нормально?? (я вопрос забыла поставить)

          • ushi
            ushi
            13.04.2012 at 01:16

            Имеется ввиду ваш_сайт/wp-content/themes/название_темы/functions.php. Там скорее всего зверь. В самом низу.

            5 штук чего нашли? С этого места, если можно, подробнее.)

            Постарайтесь описать все детально в течении пятницы, до обеда. А то уеду, а ваш сайт проболеет до понедельника.

  19. Паша
    11.04.2012 at 12:07

    пардон
    вот так:
    eval(edd19102);function ga8084a(t… много букв

    • ushi
      13.04.2012 at 00:53

      Любой код, который вы в первый раз видите может быть вредоносным:)

  20. e-buka
    09.04.2012 at 11:16

    Замочил сегодня подонка в function.php. Эта тварь несколько месяцев нервы мотала. И то не уверен, что полностью выздровел. Посмотрим дальше.

    • ushi
      09.04.2012 at 14:34

      Трояны не боятся такой привычки как возвращаться. А еще — это бомбы замедленного действия. Он уже мог расползтись по остальным файлам темы. Поверьте и проверьте. Странно, а пару месяцев назад вы нас не смогли найти (я про blogalt.ru)?

  21. ushi
    08.04.2012 at 03:32

    Я по настоящему счастлив. Несколько дней к ряду страницы описанного выше сайта выдавали наличие вируса Trojan.JS.Redirector.ux. Об этом говорил google webcache. Однако сегодня поисковик наконец-то обновил кеш моей страницы и узнал о существовании новой чистой темы. Как же здорово, а!

    Всем, кому помог и помогаю справится с вирусами на сайтах передаю огромный приветище и делюсь этой радостной новостью!

  22. kkrampa
    06.04.2012 at 02:27

    Сенк а лот, вируг (враг) не пройдёт!

  23. Тимофей
    05.04.2012 at 18:16

    Афигеть, не знал, что такой вирус есть. Спасибо, теперь буду знать

    • ushi
      05.04.2012 at 19:28

      Будь осторожен, но особо не парься. Волны вирусов на сайт wordpress случаются 1-2 раза в год.

      • Кристина
        07.04.2012 at 00:03

        На мой сайт уже за последние 2-3 недели два раза ловила троянов за я*ца. Надеюсь больше их не увижу.

        • ushi
          09.04.2012 at 14:32

          В случае чего — пишите. А так — читайте статью. Это я как ловец ловцу вам советую:)

          • Кристина
            31.12.2012 at 01:57

            Кажется меня опять посетил вирус — но я об этом узнаю от пользователей. Что делать? Опять к фрилансеру обращаться или вы сможете помочь?

          • ushi
            ushi
            31.12.2012 at 12:32

            Если вы располагаете временем, то сделайте сами. Или парня (мужа) пригласите в гости знакомого, покажите статью — все вам сделает.
            Как вариант, спросить о помощи фриленсера, который вам помогал.

  24. Vox Termen
    Vox TermenОтветить
    05.04.2012 at 16:40

    +1 за статью. Раздел про вирусы — понравился. Хороший, много информации. Сайт не думали создать по вирусам, ushi?)

    • ushi
      05.04.2012 at 19:27

      Спасибо!
      Думал:)
      Но уже есть ряд неплохих ресурсов, даже бесплатных. А то, что у меня получилось лечить сайт от вируса раньше программ — случайность. Не зарази мой сайт — не личил бы.
      Так что достаточно рубрики «Антивирус wordpress».

  25. mamanegra
    05.04.2012 at 16:31

    Может Касперский глючит? Потому что тот же nod не находит вируса на сайте, а касперыч крякает и банит?

    • ushi
      05.04.2012 at 19:24

      Обычно Касперский первый все находит. Еще мало кто знает, еще не появился биохазард в вебмастере, а Каспер — уже предупреждает. Предупрежден — значит вооружен:)

      • Жерличник
        13.04.2012 at 19:00

        А каспер, наверно, сам распространяет втихаря заразу, а потом первый и предупреждает об этом)))) Поэтому и первый всегда)))

        • ushi
          16.04.2012 at 12:07

          Была и таая мысль:)
          Может было бы и похоже на правду, так хоть бы описание давал, а то «Ваш сайт зараэжен» и в том же духе.

Добавить комментарий

Ваше сообщение*

Имя*
Email*
Сайт