Cайт взломан, что делать или Вирус троян JS:Redirector-MC [Trj] (мобильный редирект) на блоге WordPress
По всей видимости, Ваш сайт был взломан. Такой диагноз я получила сегодня… Пришлось отложить все дела и целенаправленно заняться решением данной задачи!
Так что же было и что делать?
А было следующее. При открытии в браузере сайта любимый аваст выдал информацию о том, что троян блокирован, а точнее заблокирован вредоносный сайт.
Я в шоке, посыпались звонки от друзей, кто часто бывает на сайте…
ИТАК хостинг оператор констатировал, что размещение вредоносного содержимого могло произойти несколькими способами:
— через уязвимости в скриптах размещенных на аккаунте сайтов;
— из-за утери данных для FTP-доступа (в последнее время широкое распространение
получили вирусные программы, производящие хищение данных для работы по FTP с
компьютера администратора сайта).
Какие действия я предпринимала и могу рекомендовать для решения проблемы:
1. Сразу нужно проверить антивирусом все компьютеры, с которых ведется работа с аккаунтом.
На этих компьютерах вероятно имеется вирус, с помощью которого злоумышленники смогли получить данные для FTP-доступа к хостинг аккаунту. У меня на одном из компьютеров так и оказалось, я очень редко его задействую, но вот случилось… Оказывается срок лицензии антивируса истек…
2. Далее следует сменить пароль доступа к основному аккаунту а также пароли к дополнительным FTP-аккаунтам (если они есть).
3. Сразу включайте «Фильтрацию доступа»: для этого задайте в панели управления хостинг аккаунта: IP-адреса, с которых можно будет получать доступ в ПУ, предварительно нужно получить актуальные сведения по используемым Вами IP у Вашего интернет провайдера.
4. Проверяйте всю домашнюю директорию Вашего аккаунта на предмет присутствия в ней посторонних папок и файлов, явно не имеющих отношения к размещаемым Вами данным. Удалите подобные папки или файлы в случае обнаружения. При проверке следует ориентироваться на файлы с подозрительными именами а также недавней датой изменения.
Комментарии к пунктам 4 и 5: Я поступила проще, для начала восстановила недельную копию сайта — вирус ушел. Хорошо что я установила ранее плагин wordpress database backup, он нужен для восстановления базы данных. Можно так же воспользоваться услугой backup, если она предоставляется вашим хостинг оператором.
6. В корневой папке аккаунта я так же создала файл с именем ftp.allow и указала в нём IP-адреса, с которых в дальнейшем будут производиться работы с аккаунтом по FTP.
С помощью лога посещений сайта есть возможность определить запросы, которые могли использовать уязвимости. По этим запросам можно будет узнать проблемные скрипты. Я запросила у хостинг оператора логи с информацией по работе с моим аккаунтом по FTP, а также информацию о
посещениях сайтов за предыдущие дни — сижу изучаю…
…………………..Продолжение следовало……………………..
Да, восстановить информацию удалось, но вирус посещал меня снова и снова, причем я поймала его на 5 сайтах, один из которых был на друпале. Этот снежный ком нужно было остановить. Описанное ниже решение не умаляет всей вышеперечисленной информации, потому саму статью сохраняю, считая ее полезной…
(с друпала вирус ушел после обновления версии, если кому интересно).
РЕШЕНИЕ КАК ОБЕЗВРЕДИТЬ Вирус троян JS:Redirector-MC [Trj] (мобильный редирект) на блоге WordPress, БЫЛО НАЙДЕНО ПОЗЖЕ И ВОТ ОНО ПРОСТОЕ СОВЕРШЕННО!
Необходимо восстановить файл functions.php на хостинге (я просто беру оригинал темы, в нем нахожу functions.php и перезаливаю его на хостинг в соответствующую тему). Только проверьте не делали ли вы еще каких-то дополнительных изменений в этом файле. Тогда придется выверять вручную эти изменения. Я например использовала удаление записей рубрики с главной страницы WordPress и потому пришлось еще восстанавливать эти настройки, поскольку в панике о них совсем забыла, но все лучше чем перепахать все php-файлы.
Обязательно поставьте на файл functions.php, после всех изменений защиту на хостинге, у меня было 775, стало 444. Только имейте в виду, что теперь и Вы из редактора на wordpress не сможете вносить изменения в этот файл, только предварительно сняв защиту.
Все это необходимо делать после того, как вы проверите компьютер, с которого будете выходить на хостинг антивирусом и удалите все вредоносные файлы с него.
Так же советую проверить наличие вирусов в других местах блога используя данные сайты:
http://sitecheck.sucuri.net/scanner/# проверка новых плагинов и шаблонов на вредоносный код
http://webmaster.yandex.ru какие страницы заражены покажет Яндекс.вебмастер, но лучше бы найти вирус до того, как его обнаружат поисковые системы
https://www.google.com/webmasters/tools/ — раздел Диагностика/Вредоносные программы от вебмастера Google
http://stopbadware.org/home/reportsearch — этот сервис информирует google и mozilla о вирусах
http://vms.drweb.com/online/ — онлайн проверка Доктор Веб (не все вирусы показывает, этот вирус он не обнаружил!)
http://virusscan.jotti.org/ru — проверят только файлы (можно сохранить страницу сайта как html и загрузить ее) по различным антивирусам
http://www.bertal.ru/ — можно посмотреть код страницы вашего сайта, как он видится поисковиками, полезная вещь
У меня не нашлось вирусов, Ура, а так пришлось бы перезаливать и их.
Видела на просторах интернета совет просто почистить код… я несколько раз пробовала, получается криво, потому если вы новичек, лучше восстанавливать, чем править.
Если у Вас есть еще какие-нибудь идеи, буду рада увидеть их в комментариях.
Что такое JS: Redirector-BWW?
После установки JS: Redirector-BWW начинает отображать нежелательную рекламу, когда вы просматриваете Интернет с помощью браузера. Этот тип рекламного программного обеспечения не ограничивается показом рекламы, но также может перенаправлять вас на другие вредоносные веб-сайты и постоянно отображать всплывающие рекламные объявления.
Как только ваш компьютер заражен JS: Redirector-BWW, он сразу же начнет вести себя злонамеренно. В дополнение к отображению нежелательных рекламных объявлений, JS: Redirector-BWW может попросить вас установить ложные обновления программного обеспечения или предоставить вашу личную и конфиденциальную информацию для сбора.
Кроме того, рекламные программы, такие как JS: Redirector-BWW, также могут изменять настройки вашего браузера. Браузеры, зараженные JS: Redirector-BWW, часто изменяют свои настройки по умолчанию нежелательным образом. В крайних случаях JS: Redirector-BWW может нанести очень серьезный ущерб вашей системе, манипулируя реестром Windows и настройками безопасности на вашем компьютере.
JS: Redirector-BWW Подробности
Что такое Adware?
Рекламное программное обеспечение приносит доход его разработчику, автоматически отображая рекламу в пользовательском интерфейсе программного обеспечения или на экране, который появляется на лице пользователя в процессе установки. Вы также можете открывать новые вкладки, видеть изменения на своей домашней странице, видеть результаты поиска, о которых вы никогда не слышали, или даже перенаправляться на сайт NSFW.
Как JS: Redirector-BWW попал на мой компьютер?
JS: Redirector-BWW иногда интегрируется в бесплатное программное обеспечение (бесплатное программное обеспечение), которое пользователь скачал откуда-то. После установки пользователь может продолжить использование программного обеспечения в рекламных целях или приобрести бесплатную версию программного обеспечения.
Помимо замены рекламы вашей и вывода денег из поисковых систем, рекламное ПО также будет появляться с еще более сомнительными предложениями, например, с просьбой установить «обновление» для Adobe Flash. Все это для чего-то, что покупатель мог бесплатно скачать с нужного сайта. Разработчик бесплатного программного обеспечения не получает никакой части дохода; фактически, их репутация, вероятно, была повреждена.
Каковы симптомы JS: Redirector-BWW?
Если вы подозреваете, что ваш компьютер заражен рекламным ПО, найдите любой из следующих признаков:
Как удалить JS: Redirector-BWW?
Отключиться от интернета
Удалите все вредоносные программы из Windows
На этом этапе мы попытаемся выявить и удалить все вредоносные программы, которые могут быть установлены на вашем компьютере.
В следующем окне сообщения подтвердите процесс удаления, нажав Да, затем следуйте инструкциям по удалению программы.
Clean JS: Redirector-BWW из вашего браузера
Даже если вышеуказанный шаг сработал для вас, есть вероятность, что рекламное ПО уже заразило ваш браузер, и удаление программы не избавит от рекламы. Чтобы очистить браузер, просто перезагрузите его поисковую систему (если она изменилась) и найдите расширения или надстройки, которые вы не можете распознать.
Для сброса поисковой системы:
Для поиска расширения или надстройки рекламного ПО я рекомендую использовать сторонний инструмент, который отображает все расширения и плагины всех ваших браузеров в одном окне, включая скрытые.
Использовать антишпионскую программу
Наконец, вам, безусловно, нужно антишпионская программа который работает в фоновом режиме вашего компьютера. Вам нужна программа, которая может обнаруживать и перехватывать шпионское ПО, когда оно пытается проникнуть в ваш компьютер; он также должен уметь сканировать ваш компьютер на наличие шпионского ПО и изолировать его. Обязательно обновляйте свою антишпионскую программу новыми ежедневными или еженедельными «файлами определений», чтобы она работала эффективно. Никогда не стоит оставлять свой компьютер незащищенным и открытым для шпионского или рекламного ПО.
JS/Redirector Trojan – How to Remove It from Your PC
This article has been created with the purpose to explain what is JS/Redirector Trojan horse and how to remove this JavaScript redirection malware completely from your computer.
If you have received browser redirects to various websites that are suspicious, chances are that you may have experienced an attack by JavaScript Trojan horse on your computer, known as JS/Redirector. Besides performing the usual activities done by Trojan horse on your computer, this malware’s primary purpose is to redirect you during your web browsing process to web pages. Since those pages may be malicious and infect your computer with malware, scamming or phishing pages, recommendations are to remove this malware from your computer immediately.
Threat Summary
JS/Redirector Trojan – Infection Methods
In order to cause an effective infection, the JS/Redirector malware may infect your computer, using various different types of websites and URLs. The way it is done is that the cyber-criminals compromise various websites that you may visit and embeds JavaScript code in them, resulting in causing the infection by simply visiting those websites. This method of infection is known as file less as there are no files that are dropped on your computer upon infection initiation. All you have to do is visit the suspicious web page.
The other scenario of potential infection is if you have a previous infection with a Trojan horse on your computer, which may come from:
JS/Redirector Trojan – Malicious Activity
Once an infection with JS/Redirector takes place on your computer, it’s primary goal is to attack your web browser. The JS/Redirector Trojan aims to redirect you to web pages with random domain names and suffixes, reported by Francis Allan Tan Sang to be the following:
mcfnmhumpnf.com
fgytogmtwe.com
chrisbecfiis.com
These are only a small percentage of the web pages to which you may receive browser redirects without your consent. The web browser redirects may also lead you to various other URL’s and some of them may even cause an endless loop of constant redirects. This is often done in order to generate hoax traffic to particular websites. Most cyber-criminals do it in order to boost a rank of a website and then put it up for sale online, claiming it is a successful one or simply to make money by generating visits to a particular URL via pay-per-click schemes.
The worst case scenarios is if JS/Redirector is used in schemes as an intermediary infection file that can infect your computer with other malware, such as:
Furthermore, since it’s a Trojan Horse, JS/Redirector may begin to perform other activities on your computer system, such as:
In addition to this, the malware may also update itself in order to further obfuscate itself and avoid detection on your computer. Whatever the case may be, security experts recommend that you must immediately check your computer for malware after removing JS/Redirector from your PC and change all your passwords as well as enable two-factor-authentication where possible.
How to Remove JS/Redirector Trojan from Your Computer
In order to fully erase this malware from your computer, we strongly advise you to focus on following the steps from the removal manual below. It is divided in manual removal instructions and automatic removal ones. If you have experience in malware removal, you can go ahead and check out the manual removal, but security experts often outline that your best bet is to automatically scan for malicious objects on your computer, associated with JS/Redirector Trojan and secure it completely, using an advanced anti-malware software. This will not only secure your computer and browsers, but will also help you to stay protected against future infections as well.
Ventsislav Krastev
Ventsislav is a cybersecurity expert at SensorsTechForum since 2015. He has been researching, covering, helping victims with the latest malware infections plus testing and reviewing software and the newest tech developments. Having graduated Marketing as well, Ventsislav also has passion for learning new shifts and innovations in cybersecurity that become game changers. After studying Value Chain Management, Network Administration and Computer Administration of System Applications, he found his true calling within the cybersecrurity industry and is a strong believer in the education of every user towards online safety and security.
JS.Redirector.304
Добрый день! Я обслуживаю сайт http://reklama.khakassia.ru/, к сожалению сайт заражён JS.Redirector.304, как определил мой DrWeb Security Space, также о заражении предупреждают Яндекс и Гугл.
Можно как-то своими руками бесплатно вылечить сайт? Есть ли Онлайн-лечение сайтов от DoctorWeb?
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Как удалить вирус JS:Redirector-MR [Trj] с сайта WordPress?
На днях появились сообщения о блокировании сайтов и блогов антивирусом Аваст (Avast) который ссылается на то что на сайте присутствует вредоносный код — JS:Redirector-MR [Trj]
После беглого осмотра сайта ничего найти не удалось. Также сайт был проверен многими онлайн сканерами в числе которых dr.Web, по базе Антивирус-Аларм и другие. Вредоносного кода не обнаружено.
Единственный кто хоть как-то среагировал кроме Аваста — сервис 2IP с его сканером.
После этого был проанализирован контент сайта. Были попытки отключить виджеты, которые не привели к успеху.
После проверки php файлов стало ясно что вредоносный код содержится в файле functions.php
Код, который Аваст распознал как JS:Redirector-MR занимал достаточно много место в functions. После удаления этого фрагмента кода в файле functions.php проблема становится решенной.
Вы можете скачать этот текстовый файл с удаленным кодом и посмотреть что необходимо удалить у себя.
Возможно на других сайтах этот код будет отличаться от представленного Выше.
Сложно сказать как этот код попал в functions.php возможно он находился изначально при установке этого шаблона.
Для того чтобы обезопаситься после удаления вредоносного кода, рекомендуется:
После этого антивирус Аваст не показывает больше никаких предупреждений.
