Благодаря стараниям разработчиков антивируса avast!, начиная с декабря месяца, стало выявляться распространенное заражение сайтов вредоносным скриптом JS:Redirector-MR [Trj]. Судя по Интернету, этой проблемой озабочены более всего жители бывшего СССР и население Бразилии – страны, «где водится много диких обезьян». Мы опять впереди планеты всей :). Уже не раз встречал на разных сайтах комментарии от счастливых обладателей avast!. Они заботливо предупреждали хозяев сайта, что у них завелся вирус.
Создатели avast! первыми внесли сигнатуру упомянутого выше «зверя» в свои базы. За, что им честь и хвала!
JS:Redirector-MR [Trj] перенаправляет посетителей сайта на другие ресурсы, чаще всего зараженные вирусами. Рано или поздно обладатели таких «сусанинов» будут отмечены поисковыми системами, что приведет к потере трафика.
По счастью избавление от этой напасти не простое, а очень простое. Об этом свидетельствуют многочисленные радостные отчеты, заполонившие рунет. Среди знакомых также есть те, кому описанный ниже метод помог.
Для излечения нужно: Панель инструментов? Дизайн?Редактор. В колонке Шаблоны выбираем Функции темы(functions.php). В коде functions.php отыскиваем вредоносный код:
Обычно он располагается в самом конце functions.php. Но лучше просмотреть весь файл. Далее удаляем вредоносный код и нажимаем Обновить файл. Перед удалением желательно сохранить functions.php для страховки. Для чего выделяем текст functions.php, копируем и вставляем в блокнот.
Другим вариантом может служить откат сайта на хостинге до состояния, предшествующего заражению. О дате заражения можно судить по дате изменения файла functions.php(это видно на хостинге через файловый менеджер или ftp менеджер)
Далее проводим проверку с помощью антивируса avast! или онлайн сервисов, рассмотренных в статье.
Не помешает проверить вручную архив Вашей темы, т.к. возможно она была заражена изначально. При установке новой темы ее можно проверить с помощью плагина TAC.
Не забываем о смене паролей для входа в админ панель и панель упраления аккаунтом хостинга. Стоит убедиться, что Ваш ПК свободен от кейлоггеров, и защищен надежным фаерволом.
Успехов!
Действительно, началось в прошлом месяце, просто стало невозможно отвечать на комментарии:это слово Redirector единственное, что помню; когда открывается сайт, аваст начинает вопить как недорезаный свин, а у меня паника, что пробрался вирус. Я сразу по почте письма писала: у вас что-то не в порядке, простите-извините, в следующий раз отпишусь, проверьтесь. Но почему-то реакция иногда странная, человек даже не придает значения тому, что его сайт зараженный…
Есть люди, которые сами обращаются
Спасибо, Искандер. На Вашем сайте очень много полезного как для обычных пользователей, так и для блогеров.
Искандер, сразу же кинулся проверять сайт. слава Богу, пока чисто. Спасибо Вам за предупреждение!
Да, проблема серьезная.Как же все таки защитить сайт? Ведь так же работать не возможно! Плагин я поставила по вашим рекомендациям, но похоже этого не достаточно.
Какой плагин Вы поставили и какая конкретная проблема у Вас есть сейчас(можете написать на электронную почту)
Пока не встречался с этой проблемой(тьфу тфу..),но спасибо за предупреждение,предупрежден значит вооружен.Успехов!
Ваш пост предупреждение нам, многого чего не знаем
надо проверить…Спасибо за информацию
Год дракона ,боремся с всякой заразой до полного уничтожения вируса.Спасибо за предупреждение.
А у меня avast не хочет работать. Устанавливаю антивирус, месяц — два и следует переустановка системы. Вирусы все съедают. Вообщем, не приживается у меня avast.
Полезная статья! У меня тоже частенько он выскакивает. Хорошая защита стоит. Спасибо.
А фаервол есть?
Спасибо за полезную статью
Спасибо за полезную статью. Несколько сайтов встречались, где аваст вопил, что сайты заражены трояном, писала на почту чтобы проверили.Спасибо сказал только один человек.
Благодарю Вас за отличное руководство по лмквидации вирусов.У
аpplе компьютеров заражение вирусом исключено. Переход на Аррл не вызовет проблем.
Спасибо, Искандер. Хотя, думаю, что я не настолько продвинутый пользователь, чтобы сделать это сама. Надеюсь, что ничего не «подцеплю» на просторах нашего интернета. Спасибо вам за предупреждение!
Это как исключено? Вы, наверное шутите
Сегодня эта статья помогла моему визави исправить ситуацию — сайт стал чистым и свободным для входа! Спасибо, Искандер!
У меня та же проблема, но код появляется снова и снова. Удаление не помогает.
Вот думаю как от этого избавиться
forum.maxsite.org/viewtopic.php?pid=63808#p63808
Если Вы делали все как на форуме, то либо у Вас тоже старая версия движка, которая уязвима, либо заражение проникло настолько глубоко, что затронуло сам движок и он является источником заражения. В любом случае есть источник перезаражения,который нужно найти. Т.е наряду с перечисленными мерами надо менять сам движок.Причем не через функцию автоматического обновления. А предварительно удалить движок через хостинг и ставить новый.
Поставьте плагин Ultimate Security Checker там дается рекомендация по отключению редактирования плагинов и тем, что препятствует появлению вредоносных кодов в файлах плагинов и тем.
Если ничего не помогает, то нужно или обращаться к спецам или создавать новый сайт на всем новом и чистом, просто заолнив его уже имеющимся контентом
Движок обновлял неоднократно, предварительно удалив старые папки и закачивая новую инсталяху.
Вчера искал вручную в каждой папке. Удалил все безнадежные сайты, нашел несколько вирусных файлов, на которые не реагировали антивирусы. Их видно по дате создания, большинство — новенькие 29 января 2012 года.
Также на файлы functions.php поставил права 444. Пока что полет нормальный.
В том то и дело, что обычные антивирусы не все находят. В какой-то мере помогает плагин Antivirus для WP, но он лает на все подряд и тоже не всегда все находит. Обязательно поставьте плагин Ultimate Security Checker там дается рекомендация по отключению редактирования плагинов и тем,а также по отключению WP_DEBUG опции, что препятствует появлению вредоносных кодов .Права 444 могут быть не достаточны для нормальной работы некоторых плагинов, но это всегда поправимо.Рад, что полет нормальный.
Это давно известные зловреды, которые попадают от самих же пользователей, компы которых ломают. Локально пользователи в ftp-клиенте сохраняют пароли, вирусняк такой залезает и дописывает себя в файл, старая версия в основном проходила по директориям и клала еще 1 файл или перезаписывала в конец каждого индексного файла себя, зловреда.
И лечится это обычной заменой, для этого случая, зараженного файла на дистрибутивный, например functions.php.
После удаления вируса:
1.Поменяйте пароль от сайта
2.Измените пароль ФТП
3.И проверьте вирусы на компьютере (ноутбуке)
У многих пользователей нет элементарного фаервола, так что и ломать там ничего не надо. Заражение через ftp клиент — это всего лишь один из путей.Многие не пользуются ftp клиентом вообще и даже не знают, что это такое :). Согласен, чаще всего все начинается с заражения компьютера . Причем, по большей части из-за пренебрежения элементарными мерами безопасности.Об этом постоянно пишу.Про то, что пароли лучше нигде не сохранять, тоже соглашусь. Многим на начальной стадии заражения помогает простое удаление кода, как описано выше. Спасибо, что поделились своим опытом.
Искандер,проконсультируйте,пожалуйста.
У меня в футоре время от времени появляется уходящее вниз кликабельный перечень всей моей панели инструментов сайта.Через какое-то время это все исчезает и подвал становится нормальным.Как думаете,это может быть какой-то встроенный код.По описанию кода в вашей статье я нашла у себя внизу только вот это. Что оно означает ,не знаю.Это мое нижнее меню.Но,может в нем что-то встроено???
(Здесь я сейчас пыталась послать вам код моего футора,но плагин WP-Sentinel заблокировал этот код и написал,что я пытаюсь послать вам данные админа с IP адресом.Что-то такое…)Может ничего страшного,но почему подвал тогда время от времени раскрывает мою панель инструментов для посетителей?Как думаете?
Это не нормально. Вечером попозже забегу к Вам на сайт, посмотрю код
Галина, просмотрел Ваш исходный ход. Начиная со строки 744 идет код, который отвечает за вывод того меню, о котором Вы написали. Как он туда попал, ума не приложу. Можно попробовать активировать другую тему и посмотреть, если исчезло все это в подвале, то значит дело в теме и ее надо переустановить. Возможно дело в плагинах. Можно отключать плагины по одному и смотреть, какой влияет. Какого-то подозрительного кода я не заметил.
Почти такая же ерунда на всех сайтах, а вылечить немогу 🙁 Искандер, может поможете справиться?
Поконкретнее, что за ерунда и как лечили?
Заражение сайтов — очень актуально!
Спасибо за лекарство, мне с моим сайтом помогло!
Ну этой напасти , тьфу-тьфу-тьфу, нет!
Очень полезно для меня. Читаю ваш блог дальше.
Про такие вещи просто полезно знать
У меня стоит антивитусник Avast,нареканий в его работе пока нет.Спасибо за полезную информацию по удалению вредоносного скрипта.
Искандер, внимательно почитала Вашу статью, зашла на свой сайт и ещё раз всё внимательно посмотрела в том разделе сайта, который Вы указали. Радует, что подобной гадости нет. Будем знать!
Поздравляю, Татьяна!
Весьма поучительно.