Как обнаружить и удалить вирус JS:Redirector-MR [Trj] на сайте?


Недавно один мой сайт-сателлит подвергся вирусному заражению. Когда это произошло, я не знаю: не прикасался к нему очень давно – несколько месяцев. Это потом будет иметь определенное значение.

В статье рассмотрим вопросы:

  1. Заражение  вирусом. Как это было
  2. Самые первые действия по предотвращению дальнейшего заражения
  3. Как на хостинге отключить доступ по FTP
  4. Определение типа вируса
  5. Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера
  6. Что сообщает Google о вирусе JS:Redirector-MR [Trj]?
  7. Как удалить вирус с сайта?
  8. Продолжаем удалять вирус в других темах (шаблонах)

1. Заражение вирусом. Как это было

Предыстория вопроса такова. Первым мне сообщила о заражении одна из бирж, куда я добавил свой сайт. Проверка мною этого сайта антивирусами ничего не показала (а их было более 40 шт!). Чуть позже Яндекс мне сообщил письмами по всем известным ему моим почтовым ящикам  о заражении сайта, кроме того в Яндекс.Баре на Панели инструментов появился значок о заражении одного из сайтов вирусом:

Как удалить вирус JS:Redirector-MR [Trj]?Рис.1

Зашел в Яндекс.Вебмастер посмотреть, что за вирус такой, оказался — Troj/JSRedir-GS. Название вируса мне ни о чем не говорит, полез в «Помощь» Яндекса в раздел «Безопасность сайтов». Перешел на страницу «Вердикты» — а об этом вирусе ничего нет. Видимо, он или новый, или редкий. Позже я выяснил, что ему от роду уже несколько месяцев (с декабря 2011г.) и почему-то он особенно «любит» российские и бразильские сайты.

Практически сразу же начал беспокоиться антивирус Avast! , установленный в моем компьютере, но я невнимательно прочел его сообщение (это, как потом выяснилось, тоже важно). Но Avast! как-то странно повел себя: то он показывает вирус, то – нет. Причем обычно было так – при первом заходе вирус как бы есть, а при повторном заходе на эту страницу как бы его нет.

Кстати, из всех бесплатных антивирусов его определяет только Avast! Кто хочет скачать аваст бесплатно – перейдите по ссылке. Конечно, его можно скачать и на сайте разработчика.

2. Самые первые действия по предотвращению дальнейшего заражения

Я решил прежде всего обезопасить другие свои сайты. Поскольку с зараженным сайтом мне хочешь -не хочешь приходится сейчас довольно плотно общаться, то довольно велика вероятность, что произойдет заражение компьютера, а через него – других сайтов (через Ваш FTP- клиент).

Чтобы не допустить этого я сделал:

  • Удалил сохраненные пароли из FTP- клиента (увы, увы!)
  • Отключил на хостинге доступ с помощью FTP – клиента.
  • Все работы с сайтом стал проводить исключительно с помощью файлового менеджера хостинга.

3. Как на хостинге отключить доступ по FTP

Этот мой сайт располагается на хостинге jino.ru, поэтому все действия и будут показаны именно на его примере. На других хостингах должно быть все аналогично, если не разберетесь сами – обращайтесь к техподдержке.

Заходите в свой аккаунт и далее переходите во вкладку «FTP- аккаунты»:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.2

Нам надо всего лишь сдвинуть ползунок в левое положение (как на скриншоте) и все, доступ закрыт. Правда теперь необходимо будет каждый раз, когда появляется желание поработать с FTP, надо предварительно переместить этот ползунок обратно и доступ снова будет открыт. Это можно обойти, если сделать специальный файл на сайте и прописать в нем IP адреса, с которых доступ разрешен. Но это тема отдельной статьи.

После этого я провел повторную проверку сайта и один из он-лайн сервисов показал, что вирус засел в одном из плагинов. Удалил плагин – антивирус успокоился. И я успокоился, а зря: перепроверка Яндекса показала, что вирус по-прежнему на сайте. – Видимо, это был тот самый момент когда  вирус себя просто не проявлял и поэтому avast! его и не увидел.

Вывод: кавалерийская атака на вирус не удалась, придется перейти к долговременной осаде.

4. Определение типа вируса

Яндекс, как известно, обнаруживает антивирусы в сотрудничестве с sophos.com, пошел – там ничего, кроме призывов купить антивирус, — толком ничего нет. Или я не нашел. Порадовало одно – степень опасности этого вируса оценивается ими как низкая.

Погуглил. Совет был такой: снести зараженную тему (шаблон) и будет ОК. Так и сделал, вроде бы вируса не стало. Опять Яндекс этот сайт перепроверил и опять он показал, что вирус по-прежнему на сайте.

И вот тут-то я обратил внимание на то, что Avast! показывает совсем другой вирус — JS:Redirector-MR [Trj]. Я не знаю почему, но, кажется, один и тот же вирус обозначается по разному. Погуглил по этому вирусу, результатов в выдаче много, но они все несколько однообразные. Нет, там написано все правильно, но не до конца.

Смысл всех статей такой: вирус засел в файле functions.php (в самом низу файла), приведены скриншоты вируса и способы удаления. Сейчас я опишу то же самое, но применительно к файловому менеджеру хостинга.

5. Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера

Чтобы на Вашем хостинге попасть в этот файл и отредактировать его, Вам надо зайти в нужный (зараженный) сайт, перейти в папку wp-content, далее выбрать установленную тему и уже в ней найти этот файл:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.3

Вверху в прямоугольнике показан путь до темы (default).

У вас на хостинге картинка почти наверняка будет отличаться – у jino.ru самописная панель управления. Но принцип должен быть тот же самый. Кликаете на значок редактирования файла (карандаш), у Вас открывается страница с содержимым файла, смотрите в самом низу:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.4

Все, что идет после красной вертикальной черты и есть вирус. Четверть дела сделано – вирус JS:Redirector-MR [Trj] мы нашли.

Почему я уверен, что это вирус?

Во-первых, об этом сообщали другие вебмастера.

Во-вторых, через три (!) дня проснулся Google и в Инструментах для веб-мастеров тоже сообщил о найденном вирусе. Хотя перед этим он не  видел – я несколько раз заставлял его перепроверить мой сайт: всегда было одно и то же – «вредоносного кода не обнаружено». Тут вариантов два: (1) Google научился определять этот вирус самостоятельно или по подсказке других (предполагаемый путь Яндекс – Mozilla — Google) и это лучший для меня вариант или же (2) вирус потихоньку расползается по сайту и только теперь Google смог его найти  – худший вариант.

В третьих, и это самое главное, я сравнил файлы functions.php на сайте и в заведомо чистом WordPress’е этой же версии: там этого кода нет (в WordPress'е потому, что рабочую тему я снес раньше и поиск вируса проводил на дефолтной теме, которая идет в составе самого WordPress'а).

6. Что сообщает Google о вирусе JS:Redirector-MR [Trj]?

У подавляющего большинства вебмастеров Google ничего не сообщат об обнаруженном вирусе, мне – сообщил. Видимо, после моих многочисленных команд «Проверить сайт». Google, хоть и обнаружил вирус позже, чем Яндекс, но дает вебмастеру гораздо больше информации.

Чтобы увидеть подробное сообщение Google о вирусе, заходите в Инструменты для веб-мастеров и в списке сайтов видите неприятное сообщение .Выглядит оно так :

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.5

Чтобы и у Вас раскрылось окно «Проверка состояния сайта» (на скриншоте в левом нижнем углу) необходимо кликнуть по одноименной ссылке (показана стрелкой). Чтобы увидеть какое именно вредоносное ПО обнаружено поисковиком, кликните по ссылке  «Обнаружено ли вредоносное ПО?»

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.6

В столбце «Проблемные URL на сайте» будет показан перечень обнаруженных зараженных страниц. Напротив каждой обнаруженной зараженной страницы будет стоять ссылка «Сведения». Кликните по ней:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.7

Вот этот код вируса (жаль, что Яндекс такой картинки не показывает – было бы намного легче.). Этот код надо удалить.

7. Как удалить вирус JS:Redirector-MR [Trj]?

Я предлагаю сделать это вручную, хотя можно и с помощью плагина Web Security Tools. Как это сделать, хорошо описано  здесь .

Для ручного удаления вируса, следует выделить мышью весь вирус до самого конца:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.8

И нажимаете клавишу «Delete». После этого надо нажать кнопку «Сохранить» (расположена ниже, на скриншоте не видно). Все, вирус почти удален. Почему почти? – Читаем дальше.

8. Продолжаем удалять вирус в других темах (шаблонах)

Сколько у Вас на сайте стоит шаблонов? Один-два установленных в WordPress по умолчанию и еще как минимум один – рабочий. И во всех этих темах сидит вирус! В том же самом файле functions.php.

Помните, в начале статьи я писал, что удалил с сайта рабочую тему? Посмотрите на скриншоты  (например, на рис.5) там показано, что все действия я делал на дефолтном шаблоне. Он тоже оказался зараженным, как и все другие темы на этом сайте. Поэтому на своих  сайтах откройте другие темы, проверьте и все сделайте как в первый раз.

Теперь Вы понимаете, почему я писал, что вирус JS:Redirector-MR [Trj] расползается по сайту.

Некоторые люди жалуются, что через некоторое время вирус на сайте появляется снова. Тут вариантов два.

Первый: вирус имеет несколько составляющих и одна из них контролирует наличие на сайте этого вредоносного кода. Как найти эту составляющую я пока не знаю, поэтому выделенный вирус отправил на исследование Касперскому, Dr.Web’у и Яндексу – пусть разбираются.

Второй: вирус сидит на сервере хостинга. Значит, надо бороться там и причем самим, на техподдержку хостинга здесь никакой надежды нет.

В любом случае полдела – обнаружили и удалили вирус JS:Redirector-MR [Trj] с сайта – мы сделали. Но это еще не все, нам предстоит еще кое-какая работа. Обо всех Ваших последующих действиях, в том числе и по предотвращению заражению сайтов, мы поговорим в другой статье.

Похожие записи по этой теме:

12 thoughts on “Как обнаружить и удалить вирус JS:Redirector-MR [Trj] на сайте?

  1. Рамиль

    когда я понял, что мой сайт заражен(по ссылке на мой сайт, начали попадать на другой, вредоносный сайт), я обратился к техподдержке Джино с просьбой обнаружить вирус, что они и сделали и прислали мне код вируса, указав, что он установлен в файле index.php причем мне сообщили, что удалять его бесполезно, так как у меня в аккаунте, скорей всего, существует оболочка php-shell и код может восстановится опять. Я начал проверять все файлы с расширением php и везде он присутствовал. Затем он обнаружился и в файлах с другим расширением, я восстановил сайты из бэкапа (а зараженными оказались еще и сайты на поддоменах, даже нерабочие), но доступ к сайту закрыл, так как не знаю, как обнаружить и удалить этот php-shell. Что посоветуете по этому поводу, учитывая то, что я полный чайник.

    Reply
    1. admin Post author

      Рамиль, я тоже небольшой специалист. Посоветовать могу вот что: начало вируса вбейте в поиск и посмотрите на советы людей, которые с ним сталкивались.

      Reply
  2. Светлана

    Ой, забыла спросить. А чем плох метод удаления вируса через админку. Я именно так и удаляю. Он прекрасно виден в файле. Может чего-то не допонимаю? :)

    Reply
    1. admin Post author

      Светлана, я рекомендую удалять с помощью файлового менеджера хостинга (а не с помощью FTP), потому что может произойти заражение Вашего компьютера. А в админку я попросту не мог попасть — меня туда FireFox категорически не пускал.

      Reply
  3. Светлана

    Спасибо. Тоже воюю с таким вирусом на двух сайтах — удалю, а через время они тут как тут. Но чистила тоже только рабочую тему. теперь и остальные почистила. будем надеяться, что на этом всё :) Очень не хочется, чтобы был второй код.

    Но вы обязательно напишите, пожалуйста, как получите ответы :)

    Reply
    1. admin Post author

      Светлана, ответил пока только Яндекс, но в своем стиле: раз Вы предполагаете, что на сайте может быть вирус, значит, он там может быть. Вам (т.е. мне) надо все тщательно проверить.И все. Остальные пока молчат.

      Reply
  4. Elena

    Спасибо, за подробную статью. Удалила вирус во всех установленных темах. Не разобралась с отключением доступа по FTR , т.к. у меня хостинг TIMEWEB.

    Reply
    1. admin Post author

      Elena, если Вы хотите отключить доступ по FTP, но не знаете как это сделать, обратитесь к техподдержке — они Вам обьястнят. Не советую только просить их просто отключить: они-то отключат, но если Вам потом надо будет обратно включить, столкнетесь опять с этой же проблемой.

      Reply
  5. alexandr

    Спасибо,понял хорошо что ничего не сделал кроме как не удалил коды с двух тем, но я не много не понял они могут находится кроме как в functions.php? и еще поставил на перепроверку как яндексом так и гуглом ,знаю что яндекс долго проверят а на счет гугла не сталкивался, сколько у Вас времени прошло? а то весь трафик ушел. Спасибо за статью ,у меня особо времени и я точно бы не знал, где точно он расположен и то что гугл это показывает тоже бы не знал.

    Reply
    1. admin Post author

      alexandr, я тоже понятия не имею, где могут находиться еще куски вируса. И есть ли они вообще. Поэтому и отправил вирус в антивирусные лаборатории с моими комментариями.

      Насчет времени. Google у меня перепроверял часов 5-6, а Яндекс — 4,5 дня.

      Reply
  6. alexandr

    Вот именно с такой проблемой я щас и сижу,нашел этот код. вот только не пойму как «снести зараженную тему» ???

    Reply
    1. admin Post author

      alexandr, как выяснилось, сносить зараженную тему никакого смысла нет. Надо во ВСЕХ темах, которые у Вас имеются на сайте (и активированные, и неактивированные) проверить и удалить код вируса. Возможно, вирус будет не до конца удален, по крайней мере, я так думаю, но тут я посоветовать ничего больше не могу.

      Вирус с предложениями моей всемерной помощи я отправил в три антивирусные компании, надеюсь, что они или найдут еще кусок вируса, или успокоят меня сообщением, что ничего на сайте больше нет. О результатах их проверки я, конечно, напишу, так что Вы тоже узнаете. Чтобы не пропустить, можете подписаться на рассылку.

      Выражение «снести зараженную тему» означает ее удаление с сайта.

      Google и Яндекс вполне удовлетворены результатами моей работы, с сайта сняты все ограничения и предупреждения в выдаче. Так что можете делать все точно так, как написано, и у Вас тоже все будет хорошо. Завтра опубликую продолжение статьи.

      Reply

Оставить комментарий

Your email address will not be published. Required fields are marked *