Топ
Реклама
Рубрика
Архивы
Мобильная версия блога
[QR-Code]

Как удалить на сайте вирус Trojan.JS.Redirector.ux

Что-то не везет мне в последнее время, новая напасть объявилась на моём блоге IT новостей под названием Trojan.JS.Redirector.ux.

Блог, в общем, малопосещаемый, плохо раскрученный, Яндекс он вовсе не интересует (видимо, под АГС, благодаря стараниям прежнего хозяина, потому что проиндексировано всего 4 страницы), но Google его уважает – есть небольшой трафик, PR 2 и более пятисот страниц в индексе. Попиарю, чего уж там, немного ресурс, к тому же dofollow… Вы куда?

Так вот сегодня с утра Касперский затянул одну и ту же песню, мол, вирус, загрузка запрещена, а файлы всё время указываются разные. Даже не поймешь, что, собственно, чистить?

Вход по FTP ничего не дал – никаких плохих файлов я просто не нашёл. Хорошо хоть (хотя с какой стороны посмотреть), что Яндексу сайт не нужен в ближайшее время, а то бы давно весточку прислал о заражении. В общем, серьёзная проблема, особенно когда антивирусные сервисы ничего подозрительного не находят.

Значит, дело в коде шаблона. С подсказками нашёл подозрительный кусок в файле functions.php:

Удалил. Пока всё тихо, но есть мнение, что код сей прописывается кем-то во всех практически файлах шаблона, хотя подтверждения этому пока не увидел, но только начал борьбу.

Надо ещё просканировать, как советует Касперский, весь компьютер, да пароли в очередной раз поменять…

А что у вас? Обошла гадость стороной, ведь, похоже, в Рунете начинается очередная эпидемия?

Кто как избавляется?

 

Вам понравилась статья? Не хотите пропускать новые? Тогда подпишитесь на RSS или получайте новые статьи на электронную почту

Автор: Chief | Дата: 22.03.2012 | Комментариев: 73

73 комментария на «Как удалить на сайте вирус Trojan.JS.Redirector.ux»

  1. AlexWin пишет:
    22.03.2012 в 07:38

    Честно говоря уже задолбался вычищать свои сайты, то на одном зараза, то на втором. А данный код может быть прописан во всех файлах .php, вам, можно сказать, еще крупно повезло…

    [Ответить]

  2. Веб-Мастер пишет:
    22.03.2012 в 09:26

    Мой совет при такой напасти:
    1. Обновление wp.
    2. Чистка шаблона.
    3. Смена паролей.
    4. Поиск шелов на впс.

    [Ответить]

  3. Zegi пишет:
    22.03.2012 в 09:39

    На своём WP, благо, такой гадости не нашёл. Кстати, а гугл разве не присылает уведомления о заражении?

    [Ответить]

    Chief Reply:

    Zegi, вообще-то должен, но не прислал.

    [Ответить]

  4. Василий Лешкевич пишет:
    22.03.2012 в 11:43

    А с другими CMS это работает? или только wp?

    [Ответить]

  5. Виктория пишет:
    22.03.2012 в 12:17

    Аналогичный вирус попался и мне. Прописался он только в functions.php в самом конце. В других файлах темы его не выявлено. Помогла замена файла functions.php на более ранний, благо всегда бэкапы делаю. Кстати, пароль от сайта хранился в браузере, может в этом дело? И версия движка вордпресс 3.3.

    [Ответить]

  6. Ar2r пишет:
    22.03.2012 в 14:05

    Надеюсь меня такая нечисть обойдет стороной. Думаю гугл бы обнаружил его, но только после новой индексации.

    [Ответить]

  7. leiten пишет:
    22.03.2012 в 16:07

    А у меня на WP установлен плагин AntiVirus, который шумит в случае чего на мыло…

    [Ответить]

  8. Serg пишет:
    22.03.2012 в 18:35

    А смысл от того что он просто шумит на мыло? Чистить то все равно руками приходится 🙁

    [Ответить]

  9. AlexWin пишет:
    22.03.2012 в 21:04

    плагин AntiVirus не панацея от всех вирусов, это такая себе игрушечка…

    [Ответить]

  10. sashatop пишет:
    22.03.2012 в 23:43

    Насколько часто Вы сталкиваетесь с появлениями вирусов на своих блогах? Да, и ещё, на что влияют эти вирусы? Дело в том, что я как-то ни очень с этим знаком, а на днях запустил новый блог, а тут Вы о вирусах пишите:( Если не сложно, объясните по-подробней, что может произойти с блогом от этих левых кодов.

    [Ответить]

    Chief Reply:

    sashatop, как ни странно Ламер street ни разу не заражался, хотя один раз был взломан и восстановлен из архива, а вот второму и не самому раскрученному блогу не везет – уже второй раз на нём вирус побывал. В первый раз это были левые ссылки в огромном количестве на порно, варез и прочую дребедень, теперь вот это… Не знаю с чем связано, видимо, шаблон дырявый или что-то ёщё. Последствия могут быть ужасающими для сайта – исключение из индекса поисковых систем, полное отсутствие трафика. Кому тогда нужен такой сайт?

    [Ответить]

  11. Мейн пишет:
    22.03.2012 в 23:51

    А как вообще может работать такой плагин? Без базы, что ли?

    [Ответить]

  12. leiten пишет:
    23.03.2012 в 00:06

    Serg
    Ну он хоть сообщает о проблемах сразу.

    AlexWin

    Как говорится – за неимением гербовой пишем на простой)) Пусть будет.

    [Ответить]

  13. Козявкин пишет:
    23.03.2012 в 05:17

    Могли, кстати, через какой-нибудь корявый плагин заразить, хотя чаще, конечно, дело в шаблоне. Люди привыкли пользоваться бесплатным, но даже не уделяют внимание тому, что они на свой родимый ставят.

    [Ответить]

  14. Юрий пишет:
    23.03.2012 в 05:22

    Спасибо, информативно. Сейчас тоже проверю на предмет вирусов свой блог!

    [Ответить]

  15. AlexWin пишет:
    23.03.2012 в 07:31

    Самое главное вовремя всю эту дребедень на сайте заметить…

    [Ответить]

  16. Yuriy пишет:
    23.03.2012 в 07:57

    Пару раз и я такую заразу цеплял. Первый раз прописалась на всех страницах сайта. Но вредоносный код нашелся легко как в первый, так и во второй разы.
    Я думаю, что связано это было с сохраненным логином и паролем в TotalCommander. Именно через него я сайт и обновлял.

    [Ответить]

  17. Andrey Maksimov пишет:
    23.03.2012 в 10:39

    У меня как-то заразилось сразу несколько сайтов на WP похожим способом, правда тогда скрипт записывал ифрейм зашифрованный в каждый файл index.php. Пришлось около 4-ёх часов выгребать каждый файл, очищая его. Проверял с помощью сервиса от Dr.Web.

    [Ответить]

  18. Andrey Maksimov пишет:
    23.03.2012 в 10:41

    Это очень важная тема, потому как Яндекс очень оперативно банит и писсимизирует сайты, если какой-то вирус найдёт. Недавно у меня заблокировал доступ к сайту ESET NOD32, пришлось удалять все программы для мобильных с сервера и писать на английском языке в саппорт. Ну пока нормально всё.

    [Ответить]

  19. video пишет:
    23.03.2012 в 14:26

    А как этот вирус вообще на сайт может попасть?

    [Ответить]

  20. Стас пишет:
    23.03.2012 в 15:19

    Ох уж эти вирусы. Так достали, что сил просто нету. Замучался уже с компа жены ух лечить через день.

    [Ответить]

  21. info1188 пишет:
    23.03.2012 в 15:54

    интересное удаление вируса!

    [Ответить]

  22. carole пишет:
    23.03.2012 в 16:58

    У меня на сайтах пока такого не было, но теперь проверю все сайты. спасибо за инфу.

    [Ответить]

  23. Славик пишет:
    23.03.2012 в 19:56

    Хорошо что у меня сайт на собственном движку, никогда еще вируса не было.

    [Ответить]

  24. Владимир Духовник пишет:
    23.03.2012 в 21:14

    Спасибо за информацию, благо у меня такого нет в блоге. А разве Касперский актуален? Доктор Веб не круче?

    [Ответить]

    Chief Reply:

    Владимир Духовник, актуальны оба.

    [Ответить]

  25. Rafael пишет:
    23.03.2012 в 23:43

    когда гугл начнет банить такие сайты?

    [Ответить]

  26. FS пишет:
    24.03.2012 в 01:06

    Срочно прверяем,ищем,лечим..Актуально.

    [Ответить]

  27. Filmos пишет:
    24.03.2012 в 01:43

    Большое спасибо за информацию. Как раз у меня на сайте появился данный троян, сейчас приступлю к чистке.

    [Ответить]

  28. искра пишет:
    24.03.2012 в 04:59

    У меня не стояло антивируса и несколько лет было всё норм. Но недавно меня нещадно атаковали трояны. Причём раз 5 к ряду. Меня это достало. Я тщательно вычистил комп и поставил AVG – он неплохо распознаёт свежих троянов, как выяснилось.

    [Ответить]

  29. Слава пишет:
    24.03.2012 в 10:30

    Мда, бэкапы делать нужно! 🙂 Всем советую, чтобы не было проблем

    [Ответить]

  30. Сааано пишет:
    24.03.2012 в 18:47

    Недавно тоже на WordPress нашел код вируса в функцион php. Ладно удалил пока ПС незафильтровали.

    [Ответить]

  31. Xrumik пишет:
    24.03.2012 в 19:12

    ХА ха только сегодня с ним боролся, выход нашел… скачал весь сайт проверил на вирусы оказалось файл функтион и еще несколько, пришлось файл функтион вообще менять поскольку он никак не открывался.

    [Ответить]

  32. Den_W пишет:
    24.03.2012 в 20:03

    Может что и упустил простите, но как обнаружить эту гадость. Проверяю антивиром все нормально. Какие еще способы?

    [Ответить]

  33. Den пишет:
    24.03.2012 в 21:55

    бэкапы, Слава + не ленимся, потом хуже будет

    [Ответить]

  34. Вадим пишет:
    24.03.2012 в 23:22

    Я и не знал, что можно так просто зацепить вирус на сайт! Хотя, наверное, это не есть большой проблемой. Вовремя отслеживать в Я.Мастере можно плюс на крайний случай делаю бэкапы.

    [Ответить]

  35. Александр пишет:
    25.03.2012 в 12:33

    Главное чтобы эта бяка дальше не заражала…

    [Ответить]

  36. shturm_tm пишет:
    25.03.2012 в 14:30

    да лучше нечего такого на сайт не заливать или заливать, но проверять антивирусом.

    [Ответить]

  37. Ром пишет:
    25.03.2012 в 15:10

    Избавлять от этого можно только при наличии хорошего антивирусника и фаерволла))) Больше никак. И регулярные обновления.

    [Ответить]

  38. activerus пишет:
    25.03.2012 в 18:04

    Не сталкивался с такой заразой!

    [Ответить]

  39. RobinHooD пишет:
    25.03.2012 в 18:27

    на моем сайте под самописным движком тоже попал, похожу на все скрипты прыгает. т.к. движок самописный, скриптов более 50 штук (перестал потом переписывать, чтобы в ручную чистить). решил вопрос простым бэкапом на хостинге. если не ошибаюсь, атака 7 марта была 🙂

    [Ответить]

  40. Константин пишет:
    25.03.2012 в 19:18

    Спасибо за совет!

    [Ответить]

  41. Татьяна пишет:
    25.03.2012 в 21:37

    Приму инфу на вооружение. Спасибо за материал

    [Ответить]

  42. Андрюха пишет:
    25.03.2012 в 22:10

    Отличная инфа, пол дня искал этот код, наткнулся на данный материал и все заработало, огромное спасибо

    [Ответить]

  43. sashatop пишет:
    27.03.2012 в 13:35

    Chief, а есть еще какие-то методы обнаружения вируса на сайте, как кроме антивируса касперского, может быть сайт начинает дольше грузится или еще что-нибудь?

    [Ответить]

    Chief Reply:

    sashatop, могут появиться “левые” ссылки, трафик, как побочное явление, по необычным запросам, а потом Гугл и Яндекс всегда предупредят. Так что не только Касперский тут рулит.

    [Ответить]

  44. Glo_Bus пишет:
    27.03.2012 в 21:06

    Я даже и не знал, что может на сайте быть вирус. Час от часу не легче…

    [Ответить]

  45. Pavel-admin пишет:
    28.03.2012 в 12:00

    А по мне так – это всё бэкдоры в шаблонах из паблика.

    [Ответить]

  46. merfo пишет:
    28.03.2012 в 21:28

    бала у меня подобная фигня. Нод подсказал что и где надо искать.

    [Ответить]

  47. unhaunt пишет:
    29.03.2012 в 20:29

    достали уже эти вирусописатели! как от них спасать уже?

    [Ответить]

  48. Алексей пишет:
    29.03.2012 в 21:17

    Спасибо, таже беда сейчас была, удалил вроде все нормально стало.

    [Ответить]

  49. Айгуль пишет:
    30.03.2012 в 12:46

    спасибо за полезную статью!

    [Ответить]

  50. Seo Пульс пишет:
    31.03.2012 в 00:02

    Я бы советовал в особо сложных случаях обращаться к хостеру и требовать решения проблем.

    [Ответить]

  51. Николай пишет:
    31.03.2012 в 11:05

    Зачастую вирусы на сайт попадают за счет кражи паролей от FTP, поэтому я стал пользоваться более защищенной программой WinSCP с доступом по SSH и пароли в программе не храню, так же и на самом хостинге и сайте произвожу различные настройки ( в одном комменте весь комплекс работ не опишешь)… Очистил от вирусов уже много сайтов, так что кое что в этой теме понимаю, хотя крутым спецом себя не считаю

    [Ответить]

  52. babyshaq пишет:
    31.03.2012 в 15:30

    Ребят, а кроме как взлома сайта и с плагинами он не может никак попасть? И вообще они людьми закидываются на сайт или боты их кидают?

    [Ответить]

  53. Power пишет:
    31.03.2012 в 19:28

    Народ спасибо за инфу очень ценно!

    [Ответить]

  54. elena.dokiychuk пишет:
    04.04.2012 в 20:48

    У меня кстати такая же фигня была !
    Долго билась, не могла определить в чем проблема, пока не нашла, что это вирус!!
    Решила проблему где то также , как и написано в посте

    [Ответить]

  55. figol18 пишет:
    05.04.2012 в 16:15

    Спасибо, интересный метод…

    [Ответить]

  56. Dmitriy пишет:
    05.04.2012 в 16:17

    Странно, в нод32 не выскакивало что вирус есть – как установит каспера увидел, устранил эту “проблему”. Хотя это совсем не вирус.. Антивирус глючит?

    [Ответить]

    Chief Reply:

    Dmitriy, может и глючит, но я привык доверять Касперскому. А что было, если не секрет?

    [Ответить]

  57. ushi пишет:
    05.04.2012 в 17:30

    Неплохая статья, тоже столкнулся с этим трояном. Уничтожил самостоятельно, вот к вам зашел. Делюсь своим опытом:
    http://blogalt.ru/wordpress/antimal/trojanjs.html

    [Ответить]

    Chief Reply:

    ushi, ну так и сослались бы на меня, между делом – я-то раньше с этим вирусом столкнулся. Вон даже китайцы сослались…

    [Ответить]

  58. ushi пишет:
    06.04.2012 в 03:22

    Смотрите на мир широко открытыми глазами,)

    Это тот же мэйлфрейм, что и год назад, но с другим именем. Если что, на сайте есть целая рубрика. поймете кто раньше)
    А оно вам надо?

    P.S. Год в ожидании китайцев:)
    Но то, что вы его самостоятельно нашли и еще пост написали — похвально!

    [Ответить]

    Chief Reply:

    ushi, я не борюсь за звание первооткрывателя, а вот на вопрос “А оно вам надо?”, как блогер, отвечу – было бы приятно получить ссылку. Вы же свою оставили, так почему бы не обменяться? Так что иронию вашу понимаю, но хамить не надо.

    [Ответить]

  59. ushi пишет:
    06.04.2012 в 12:42

    Пишите коммент с ссылкой – оставлю. Может в вашем посте есть то, чего не хватит в моем и комментарий окажется полезным.

    [Ответить]

    Chief Reply:

    ushi, спасибо, учту.

    [Ответить]

  60. николай пишет:
    08.04.2012 в 00:49

    Спасибо, нашел такой же код, удалил, яндекс пока молчит

    [Ответить]

  61. Дмитрий пишет:
    19.04.2012 в 00:15

    А как вообще проверять файлы сайта на вирусы? Сайт то на хостинге. Заранее извиняюсь за тупой вопрос, но где то же надо спросить

    [Ответить]

  62. Ансар пишет:
    05.05.2012 в 14:03

    Спасибо большое 😉 Удалил вирусняк на своем народовском сайте)

    [Ответить]

  63. Блогер пишет:
    15.05.2012 в 11:52

    В файле на wordpress движке function.php нашел вирусный код, но удалить у меня не получается. Помогите плиз

    [Ответить]

    Chief Reply:

    Блогер, а как пробовали удалять?

    [Ответить]

  64. Андрей Ко пишет:
    05.06.2012 в 21:49

    Для страховки делаю постоянные бекапы. Пять минут и сайт снова “здоровый”. Лечить не пробовал, ведь вирусы любят размножатся и удалятся не полностью (зачем мне это). Хотя именно о этом вирусе ничего не скажу, может и так удалится…

    [Ответить]

Добавить комментарий:

Нажимая на кнопку «Добавить комментарий» я соглашаюсь с политикой конфиденциальности Правила комментирования



Политика конфиденциальности Индекс цитирования Яндекс.Метрика Рейтинг@Mail.ru