Главная-Кулер-Вирус троян JS:Redirector-MC (мобильный редирект) на блоге WordPress. Redirect что это, как убрать? Что делает этот вирус

Вирус троян JS:Redirector-MC (мобильный редирект) на блоге WordPress. Redirect что это, как убрать? Что делает этот вирус

Всем привет. Это небольшая статья будет посвящена защите вашего блога WordPress от вирусов и троянов таких как Мобильный редирект , он же JS:Redirector-MC . Его можно обнаружить с помощью антивируса AVAST и браузера OPERA, другие антивирусы пока его не видят, повторюсь пока не видят.

Если Вы заметили данный вирус на своем блоге, без паники здесь ничего страшного нет, сейчас я научу Вас как бороться с этим недугом. При заходе на сайт под браузером Opera вы увидели окошко «троян блокирован», заражение «JS:Redirector-MC » это и есть наш мобильный редирект.

Бороться с ним будем следующим образом.

Открываете файл functions.php и в самом внизу вы можете обнаружить следующий код:

Наша задача удалить этот код.

Сделать это можно несколькими способами:

  1. Удалить код вручную.
  2. Найти копию файла functions.php и перезалить на хостинге

После того как вы удалите этот код, проверяем наш блог на специальных онлайн сервисах, нет ли еще зараз на блоге.

У Вас наверно возникают вопросы откуда взялся данный вирус. Я покопался по интернету и нашел ответ, который не очень меня обрадовал скидываю, как скрин.

Из — прочитанного можно сделать вывод что ни наш WordPress не сервис не защищен на 100% .

Я поймал этот вирус на 2-х блогах, советую проверить свои блоги на наличии вирусов, особенно те которые находятся на хостинге Timeweb.

Если вовремя не обнаружить вирус, Ваш блог может быстро упасть в позициях, будет большой процент отказов, вообщем ничего хорошего Вас не ожидает.

После удаления вируса, советую:

  1. ОбновитьWordPress
  2. Изменить пароль к Ftp
  3. Изменить пароль на хостинге
  4. Сделать полный скан компьютера на наличие вирусов

Если ваш блог взломал, об этом я уже писал . Самое главное вовремя заметить и обезвредить. Если что не получается или не понятно, обращайтесь помогу.

Вирусдай позволяет удалить вирус-редирект с вашего сайта. Редирект – это перенаправление пользователя на сторонний сайт при попытке просмотра страниц исходного сайта. Обычно такие редиректы перенаправляют пользователей на сайты, откуда происходит распространение вредоносного или мошеннического ПО (например, под видом обновления к веб-браузеру). Загрузка и установка таких программ может привести к заражению компьютера или вашего мобильного устройства.

В большинстве случаев, вредоносный код прописывается в файле.htaccess, лежащем в корне вашего сайта. Вредоносный код, часто выглядит следующим образом:
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*yandex.*
RewriteCond %{HTTP_REFERER} .*google.*
RewriteCond %{HTTP_REFERER} .*bing.*
RewriteRule ^(.*)$ http://maliciouswebsite.net/index.php?t=6

Такие правила редиректа будут перенаправлять пользователей с поисковых систем Яндекс, Гугл и Бинг на сайт maliciouswebsite.net.
Часто распространены мобильные редиректы, влияющие только на пользователей, посещающих ваш ресурс с мобильных устройств.

Лечение от вируса

Мы рекомендуем воспользоваться сервисом Вирусдай, умеющим автоматически находить и удалять вредоносные редиректы. Если вы хотите произвести удаление вручную — инструкции следующие:
1. Установите соединение со своим сайтом через файл-менеджер по FTP
2. Найдите файл.htaccess в корневом каталоге сайта
3. Удалите вредоносный код и сохраните файл

Теперь, когда редирект удален, вы, казалось бы, можете вздохнуть спокойно, однако, вы не знаете как и кем он был помещен в ваш файл и уж точно не знаете повторится ли это снова, однако, вы явно подозреваете, что да. Осталось постараться найти уязвимость, через которую лоумышленникам удалось проникнуть в файлы вашего сайта. Вирусдай может находить и уничтожать шеллы, дающие злоумышленникам полный доступ к вашим файлам.

Вирус редирект в PHP-файлах

Есть разновидности редиректов, которые любят прописываться не только в самом файле.htaccess, но также, легко позволяют себе прописаться во множестве (сотни или тысячи файлов) PHP файлов. В явном виде вы не сможете обнаружить такую вредоносную строку в файлах, однако, при запуске любого из PHP файлов редирект на вашем сайте будет снова возникать. Для полного устранения вирусда редиректа рекомендуем использовать сервис Вирусдай. Вирусдай обнаруживает и удаляет редиректы в.htaccess и файлах *.php.

Вчера весь день носился второпях и впопыхах, и так уж получилось, что полностью освободился только сейчас, поэтому публикация заметки обещанной с позавчерашнего вечера несколько затянулась.

Два дня назад я вкратце рассказал , свалившихся на меня в последние дни, а сейчас я намерен описать ситуацию, на которой остановился в предыдущей заметке – вирусах на моих сайтах.

В общем, дело было так.

10 ноября в районе 17 часов на мой электронный адрес пришло уведомление от Яндекса с темой «На сайте обнаружен потенциально опасный код» , который был обнаружен на страницах сайта . По словам Яндекса данный код может быть опасен для посетителей, и в связи с этим в результатах поиска мой сайт выводился с пометкой .


Само собой такое положение вещей меня не устраивало, и я поспешил проверить свой сайт на предмет постороннего кода и прочей «дряни», которая могла повлиять на появление вирусов.
Вместе с этим письмом я получил уведомление о внесении денег на счет моего аккаунта.


Текст сообщения:

На Ваш абонентский счет поступила оплата в размере: 0 руб.
тип оплаты: За счет Hostland.ru
и зачислен бонус в размере: 1668 руб.
так же вам зачислено доменных бонусов в количестве: 1


Как бы там ни было, редиректа на моих сайтах уже действительно нет – проблему нашли и устранили, а по поводу того что произошло, ну с кем не бывает?

Даже несмотря на всё это я по-прежнему доволен работой своего хостинга, тем более в конечном итоге нам удалось во всём разобраться и избавиться от так называемых неприятностей. Не маловажным моментом для меня оказалось пополнение счёта, и я не буду скрывать, я считаю, что это было очень даже уместно, после всего того с чем мне пришлось столкнуться.

В заметке я ещё нигде не упоминал о том, что в процессе поиска вредоносного кода и по совету специалистов службы поддержки клиентов мне пришлось проверить свой компьютер на наличие вирусов . Помимо всего этого я проверил свой сайт на предмет вирусов с помощью нескольких онлайн сканеров, что естественно потребовало дополнительного времени, которое я считаю, потрачено не напрасно – излишняя уверенность ещё никому не повредила.

Вредоносный код на сайте не обнаружен

Сейчас работоспособность всех моих сайтов восстановлена, на сайтах нет никаких вирусов и никаких редиректов, с блога сняты все ограничения от поисковой системы Яндекс - в общем, всё наладилось. Хорошо, что всё хорошо закончилось, а вообще интересная получилась ситуация.


Ну как вам такая история, в которой человек с образованием повара доказывал профессиональным программистам проблему с их оборудованием, а?

Меня она успела, и повеселить обстановкой и порадовать пополнением счёта, добавила новых знаний и опыта, но что самое неприятное, она заставила понервничать, а мне нервничать нельзя – это плохо сказывается на моём самочувствии!

В общем, не дай бог кому-нибудь столкнуться с такой же проблемой, ведь до самого последнего момента дураком будут считать только Вас.

Лечим вирус поискового редиректа в джумла

Лечим вирус поискового редиректа в джумла

28.04.2016

При администрировании сайта Джумла, периодически приходиться лечить систему после всяких взломов. Один из самых неприятных, это так называемый вирус поискового редиректа, когда сайт ломают shell-ом, а потом внедряют вставки поискового редиректа, в результате в поисковой системе выдает ваш сайт, но перекидывает пользователя на порно или сайты исламской тематики. Как итог, после перехода вы получаете такое сообщение:

Потом уже подобное сообщение начнет выдавать поисковая система о том, что ваш сайт заражен, или взломан. А в Яндексе даже слетите с позиций. В итоге у вас потерянный трафик, потеря клиентов, отсутствие заказов.

Процедура восстановления.

1. Делаете резервное копирование, скачиваете.
2. Если на хостинге нет антивирусной проверки, тогда прогоняете скаченный бекап антивирусом. Находим файлы вируса shell-а, в моем случае это PHP.Shell.387. Это вид вируса использующего «дыру» в безопасности системы управления.

3. Удаляем файлы вируса на хостинге.
4. Меняем пароли в админке, фтп
5. Так как поиск троянов не дает эффекта, а в ручную искать куда внедрили код PHP довольно долго, и не всегда результативно, я делаю бекап микс. Микс - это любой файловый бекап сайта до внедрения вирусов, база данных остается текущая, не из бекапа, далее с свежего бекапа забираем папку images с картинками и папку componentscom_jshoppingfilesimg_products где находятся фото товаров.
Итог: радуемся результату.
П.С. Что делать если нет бекапа? или привлекайте для этого специалистов. Возможно поможет бекап хостинга, но он автоматически затирается, и скорее всего не спасет, так как будет содержать вирус.

Последующая профилактика:

1. Экономия не должна быть экономной. Смените систему управления по возможности.
2. Однозначно меняйте хостинг. Не стоит на этом экономить. В моей практике на timeweb два раза ломали одну и туже джумлу, но это пол беды. Ключевое было то, что хостинг даже раз в квартал не делает антивирусную проверку своих серверов. Я рекомендую использовать хостинг, который ежедневно делает антивирусную проверку, а также доступна бесплатная услуга ручного запуска антивирусной проверки. Например, это reg.ru
3. Не сохраняйте ФТП пароли.

Похожие публикации: