Инструкция как удалить вирус JS:Redirector-MR [Trj] с сайта WordPress? Как найти вирус на сайте

Привет друзья! У меня запланировано много статей, но эта получилось внеплановая. Несколько дней назад на моем сайте поселился вирус JS:Redirector-MR [Trj]. Прежде всего хочу сказать спасибо Leon'y за то что первый заметил и сообщил о непрошеном госте. Мой касперский предательски молчал. Зато антивирусник Аваст сразу почуял не ладное. А так же хочу сказать спасибо @Riv3ro за поддержку :)

Как найти вирус на сайте?

Как найти и удалить вирус на блоге? Не знаю как вы, но я по натуре «спокойный удав» и бегать по квартире в панике не в моем стиле. Раньше с подобным явлением не сталкивалась, но это первый звоночек, что пора укреплять блог. Для начала нужно проверить сайт в онлайн сервисах.

На самом деле их много, но я выделю три:

Два айпи http://2ip.ru/site-virus-scaner/

Вводите сайт и код подтверждения.

Проверить сайт на вирусы

Если будет обнаружен вирус, то красным цветом будет выделен текст «Подозрение на вирус»

Подозрение на вирусы


Антивирус аларм. http://antivirus-alarm.ru/proverka

Как проверить сайт на вирусы?

Вбиваете свой сайт и ждете пару минут. Дальше смотрите на список. Ваш сайт сканируют несколько антивирусных баз.

Ищем вирус на сайте, как найти вирус на сайте

Если у вас есть вирус в колонке  "результат" вы увидите название вируса. При проверки Avast сообщил о вирусе под названием JS:Redirector-MR [Trj].

Как выяснилось этот вирус обычно обитает в шаблоне в functions.php

Вирус в шаблоне

Изначально вируса JS:Redirector-MR [Trj] в шаблоне не было.

Выглядит этот вирус вот так:

Вирус в функции темы Вордпресс

Как удалить вирус с сайта Wordpress?

Есть два варианта, как избавиться от вируса, хотя три.

  • 1 способ. Вы хорошо знаете все коды и сразу определяете лишнее, затем удаляете.
  • 2 способ. Я скопировала файлы style.css, footer.php и header.php, single.php (там находятся счетчики, разные коды для социальных кнопок). Удалила полностью тему Адсимпле, затем установила занова и вернула все выше перечисленные файлы. Проверила в онлайн сервисах везде тишина. От вируса я избавилась.
  • 3 способ. Если вы часто делаете Бейкап, то можно вернуть старую версию и проверить на вирусы.

Третий сервис — SiteGuard.ru

На этом сайте нужно пройти регистрацию и в корень своего пациента закинуть специальный файл. Тогда товарищи смогут просканировать сайт и показать подозрительный код на их взгляд.

Вот пример моего сайта. Можно нажать на подозрительные объекты и вас покажут кусочек кода. Именно этот сервис нашел кусочек вируса JS:Redirector-MR [Trj] 

После удаления вируса:

  1. Поменяйте пароль от сайта
  2. Измените пароль ФТП
  3. И проверьте вирусы на компе(ноуте)
  4. Установите плагин WordPress Firewall 2  - он блокирует все попытки поменять что-то в шаблоне.

На этом все. Инканта.

Метки:

Как установить красивые кнопки социальных сетей

Отзывов (25) на «Инструкция как удалить вирус JS:Redirector-MR [Trj] с сайта WordPress? Как найти вирус на сайте»

  1. Полезный пост и спасибо за онлайн сервисы)

    Беру на заметку.

    • Да уж! Неприятный опыт вышел, всегда думала, что моя скромная персона никого не заинтересует. Пора укреплять блог *CRAZY*

  2. Спасибо тебе ;) Помогла избавиться от зверя ( *CRAZY* )

    С новым годом с новым счастьем!

  3. Марина,спасибо огромное за полезную информацию! *ROSE* Столкнулся с такой же бедой. Благодаря Вашим советам, обнаружил вирус в functions.php, в самом низу.

    • Марина, периодически вирус снова появляется у меня на сайте, приходится постоянно следить и чистить functions.php

      Возможно он остался где-то в других файлах и периодически активируется, а может осталась брешь в вордпрессе.

      Не подскажете, что ещё можно сделать? *HELP*

      У Вас, кстати тоже, аваст выдал предупреждение о вирусе. Проверьте файлы.

      • Вот зараза. ]:-> Вижу, что в функшион появился. Я в прошлый раз полностью все меняла.

        Юрий, вообщем все как в прошлый раз: проверить комп, удалить вирус, поменять пароли. Поставьте еще плагин WordPress Firewall 2

        Я когда меняла кое-что в шаблоне, отключила(

        • если у вас свой сервер, проверьте его на руткиты rkhunter например

        • Марина, огромное спасибо за совет с Firewall 2 *THUMBS UP* *ROSE*

          Вы вернули мне спокойный сон- плагин сам блокирует все попытки вредительства.

          Я его не отключаю при редактировании файлов темы, а прописываю свой Ip-адрес в список разрешенных.

  4. Icar:

    Эу, проверяльщик больше не доступен по ссылке. Как быть? Где взять?

  5. Самый надёжный способ — закачать полностью тему и банально заменить этот злосчастный файл.

    • Тоже эту заразу где то подхватил, а вы идентифицировали источник?

      • У меня есть подозрение, что была «дыра» в вордпрессе. В тот момент вышло обновление и я не сразу «обновилась». Время от времени проверяю на вирусы, пока что все тихо.

  6. Благодаря Вам я вылечила свой сайт!

  7. Вот на моём сайте этот же вирус, но в functions.php нет такого опасного кода . Что делать??? И в других php я тоже смотрела, нету(((

  8. Здравствуйте! Уже несколько раз повторяется такая петрушка... первые два раза просто делала бэкап. А сегодня проверила, как Вы написали. Действительно нашла такой код. Удалила его. Но при проверке Подозрение на вирус!- осталось.

    • Елена, глянула на сайт. Аваст молчит. Установите плагин WordPress Firewall 2 он будет блокировать попытки вставить скрипт в шаблон.

  9. Елена:

    Я знаю, на какой странице сайта вордпресс есть вредоносный код, как мне эту страницу найти через фтп клиент, чтобы отредактировать? Подскажите пожалуйста...

  10. E нас была такая же проблема! почистили function.php и закрыли его от всех, поставив доступ 444. Вот и все, теперь он нас не донимает!

    Кстати засветившись с этим трояном, мы уже долгое время не можем попасть в топ гугла как это было раньше!

    Так что очень его опасайтесь!

  11. У меня эта гадость появилась перед аккурат как подарок на Пасху :( Хорошо, что перед этим в начале года в группе subscriber уже появилось предупреждение и способ лечения. Но после удаления кода и смены всех паролей сегодня это гадость опять появилась на том же месте =-O Комп чистый, новых постов в блоге не было. Я грешу на хостера. Сегодня попробовала еще изменить права доступа с на файл с 644 на 444 может поможет =)

    • Как я уже говорила, после установки плагина WordPress Firewall 2 меня перестали беспокоить.

      alf2011, зашла на ваш сайт. Аваст молчит.

  12. Тоже нарвался на этот вирус. Здесь: igbur.com/sobstvennoe/opy...rus-s-bloga.html написал про эту гадость. Есть еще одна идея как его найти, когда реализую, отпишусь здесь).

Ваш отзыв