Как обнаружить и удалить вирус JS:Redirector-MR [Trj] на сайте?


Недавно один мой сайт-сателлит подвергся вирусному заражению. Когда это произошло, я не знаю: не прикасался к нему очень давно – несколько месяцев. Это потом будет иметь определенное значение.

В статье рассмотрим вопросы:

  1. Заражение  вирусом. Как это было
  2. Самые первые действия по предотвращению дальнейшего заражения
  3. Как на хостинге отключить доступ по FTP
  4. Определение типа вируса
  5. Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера
  6. Что сообщает Google о вирусе JS:Redirector-MR [Trj]?
  7. Как удалить вирус с сайта?
  8. Продолжаем удалять вирус в других темах (шаблонах)

1. Заражение вирусом. Как это было

Предыстория вопроса такова. Первым мне сообщила о заражении одна из бирж, куда я добавил свой сайт. Проверка мною этого сайта антивирусами ничего не показала (а их было более 40 шт!). Чуть позже Яндекс мне сообщил письмами по всем известным ему моим почтовым ящикам  о заражении сайта, кроме того в Яндекс.Баре на Панели инструментов появился значок о заражении одного из сайтов вирусом:

Как удалить вирус JS:Redirector-MR [Trj]?Рис.1

Зашел в Яндекс.Вебмастер посмотреть, что за вирус такой, оказался — Troj/JSRedir-GS. Название вируса мне ни о чем не говорит, полез в «Помощь» Яндекса в раздел «Безопасность сайтов». Перешел на страницу «Вердикты» — а об этом вирусе ничего нет. Видимо, он или новый, или редкий. Позже я выяснил, что ему от роду уже несколько месяцев (с декабря 2011г.) и почему-то он особенно «любит» российские и бразильские сайты.

Практически сразу же начал беспокоиться антивирус Avast! , установленный в моем компьютере, но я невнимательно прочел его сообщение (это, как потом выяснилось, тоже важно). Но Avast! как-то странно повел себя: то он показывает вирус, то – нет. Причем обычно было так – при первом заходе вирус как бы есть, а при повторном заходе на эту страницу как бы его нет.

Кстати, из всех бесплатных антивирусов его определяет только Avast! Кто хочет скачать аваст бесплатно – перейдите по ссылке. Конечно, его можно скачать и на сайте разработчика.

2. Самые первые действия по предотвращению дальнейшего заражения

Я решил прежде всего обезопасить другие свои сайты. Поскольку с зараженным сайтом мне хочешь -не хочешь приходится сейчас довольно плотно общаться, то довольно велика вероятность, что произойдет заражение компьютера, а через него – других сайтов (через Ваш FTP- клиент).

Чтобы не допустить этого я сделал:

  • Удалил сохраненные пароли из FTP- клиента (увы, увы!)
  • Отключил на хостинге доступ с помощью FTP – клиента.
  • Все работы с сайтом стал проводить исключительно с помощью файлового менеджера хостинга.

3. Как на хостинге отключить доступ по FTP

Этот мой сайт располагается на хостинге jino.ru, поэтому все действия и будут показаны именно на его примере. На других хостингах должно быть все аналогично, если не разберетесь сами – обращайтесь к техподдержке.

Заходите в свой аккаунт и далее переходите во вкладку «FTP- аккаунты»:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.2

Нам надо всего лишь сдвинуть ползунок в левое положение (как на скриншоте) и все, доступ закрыт. Правда теперь необходимо будет каждый раз, когда появляется желание поработать с FTP, надо предварительно переместить этот ползунок обратно и доступ снова будет открыт. Это можно обойти, если сделать специальный файл на сайте и прописать в нем IP адреса, с которых доступ разрешен. Но это тема отдельной статьи.

После этого я провел повторную проверку сайта и один из он-лайн сервисов показал, что вирус засел в одном из плагинов. Удалил плагин – антивирус успокоился. И я успокоился, а зря: перепроверка Яндекса показала, что вирус по-прежнему на сайте. – Видимо, это был тот самый момент когда  вирус себя просто не проявлял и поэтому avast! его и не увидел.

Вывод: кавалерийская атака на вирус не удалась, придется перейти к долговременной осаде.

4. Определение типа вируса

Яндекс, как известно, обнаруживает антивирусы в сотрудничестве с sophos.com, пошел – там ничего, кроме призывов купить антивирус, — толком ничего нет. Или я не нашел. Порадовало одно – степень опасности этого вируса оценивается ими как низкая.

Погуглил. Совет был такой: снести зараженную тему (шаблон) и будет ОК. Так и сделал, вроде бы вируса не стало. Опять Яндекс этот сайт перепроверил и опять он показал, что вирус по-прежнему на сайте.

И вот тут-то я обратил внимание на то, что Avast! показывает совсем другой вирус — JS:Redirector-MR [Trj]. Я не знаю почему, но, кажется, один и тот же вирус обозначается по разному. Погуглил по этому вирусу, результатов в выдаче много, но они все несколько однообразные. Нет, там написано все правильно, но не до конца.

Смысл всех статей такой: вирус засел в файле functions.php (в самом низу файла), приведены скриншоты вируса и способы удаления. Сейчас я опишу то же самое, но применительно к файловому менеджеру хостинга.

5. Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера

Чтобы на Вашем хостинге попасть в этот файл и отредактировать его, Вам надо зайти в нужный (зараженный) сайт, перейти в папку wp-content, далее выбрать установленную тему и уже в ней найти этот файл:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.3

Вверху в прямоугольнике показан путь до темы (default).

У вас на хостинге картинка почти наверняка будет отличаться – у jino.ru самописная панель управления. Но принцип должен быть тот же самый. Кликаете на значок редактирования файла (карандаш), у Вас открывается страница с содержимым файла, смотрите в самом низу:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.4

Все, что идет после красной вертикальной черты и есть вирус. Четверть дела сделано – вирус JS:Redirector-MR [Trj] мы нашли.

Почему я уверен, что это вирус?

Во-первых, об этом сообщали другие вебмастера.

Во-вторых, через три (!) дня проснулся Google и в Инструментах для веб-мастеров тоже сообщил о найденном вирусе. Хотя перед этим он не  видел – я несколько раз заставлял его перепроверить мой сайт: всегда было одно и то же – «вредоносного кода не обнаружено». Тут вариантов два: (1) Google научился определять этот вирус самостоятельно или по подсказке других (предполагаемый путь Яндекс – Mozilla — Google) и это лучший для меня вариант или же (2) вирус потихоньку расползается по сайту и только теперь Google смог его найти  – худший вариант.

В третьих, и это самое главное, я сравнил файлы functions.php на сайте и в заведомо чистом WordPress’е этой же версии: там этого кода нет (в WordPress'е потому, что рабочую тему я снес раньше и поиск вируса проводил на дефолтной теме, которая идет в составе самого WordPress'а).

6. Что сообщает Google о вирусе JS:Redirector-MR [Trj]?

У подавляющего большинства вебмастеров Google ничего не сообщат об обнаруженном вирусе, мне – сообщил. Видимо, после моих многочисленных команд «Проверить сайт». Google, хоть и обнаружил вирус позже, чем Яндекс, но дает вебмастеру гораздо больше информации.

Чтобы увидеть подробное сообщение Google о вирусе, заходите в Инструменты для веб-мастеров и в списке сайтов видите неприятное сообщение .Выглядит оно так :

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.5

Чтобы и у Вас раскрылось окно «Проверка состояния сайта» (на скриншоте в левом нижнем углу) необходимо кликнуть по одноименной ссылке (показана стрелкой). Чтобы увидеть какое именно вредоносное ПО обнаружено поисковиком, кликните по ссылке  «Обнаружено ли вредоносное ПО?»

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.6

В столбце «Проблемные URL на сайте» будет показан перечень обнаруженных зараженных страниц. Напротив каждой обнаруженной зараженной страницы будет стоять ссылка «Сведения». Кликните по ней:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.7

Вот этот код вируса (жаль, что Яндекс такой картинки не показывает – было бы намного легче.). Этот код надо удалить.

7. Как удалить вирус JS:Redirector-MR [Trj]?

Я предлагаю сделать это вручную, хотя можно и с помощью плагина Web Security Tools. Как это сделать, хорошо описано  здесь .

Для ручного удаления вируса, следует выделить мышью весь вирус до самого конца:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.8

И нажимаете клавишу «Delete». После этого надо нажать кнопку «Сохранить» (расположена ниже, на скриншоте не видно). Все, вирус почти удален. Почему почти? – Читаем дальше.

8. Продолжаем удалять вирус в других темах (шаблонах)

Сколько у Вас на сайте стоит шаблонов? Один-два установленных в WordPress по умолчанию и еще как минимум один – рабочий. И во всех этих темах сидит вирус! В том же самом файле functions.php.

Помните, в начале статьи я писал, что удалил с сайта рабочую тему? Посмотрите на скриншоты  (например, на рис.5) там показано, что все действия я делал на дефолтном шаблоне. Он тоже оказался зараженным, как и все другие темы на этом сайте. Поэтому на своих  сайтах откройте другие темы, проверьте и все сделайте как в первый раз.

Теперь Вы понимаете, почему я писал, что вирус JS:Redirector-MR [Trj] расползается по сайту.

Некоторые люди жалуются, что через некоторое время вирус на сайте появляется снова. Тут вариантов два.

Первый: вирус имеет несколько составляющих и одна из них контролирует наличие на сайте этого вредоносного кода. Как найти эту составляющую я пока не знаю, поэтому выделенный вирус отправил на исследование Касперскому, Dr.Web’у и Яндексу – пусть разбираются.

Второй: вирус сидит на сервере хостинга. Значит, надо бороться там и причем самим, на техподдержку хостинга здесь никакой надежды нет.

В любом случае полдела – обнаружили и удалили вирус JS:Redirector-MR [Trj] с сайта – мы сделали. Но это еще не все, нам предстоит еще кое-какая работа. Обо всех Ваших последующих действиях, в том числе и по предотвращению заражению сайтов, мы поговорим в другой статье.

Похожие записи по этой теме:

12 Responses to Как обнаружить и удалить вирус JS:Redirector-MR [Trj] на сайте?

  1. Рамиль пишет:

    когда я понял, что мой сайт заражен(по ссылке на мой сайт, начали попадать на другой, вредоносный сайт), я обратился к техподдержке Джино с просьбой обнаружить вирус, что они и сделали и прислали мне код вируса, указав, что он установлен в файле index.php причем мне сообщили, что удалять его бесполезно, так как у меня в аккаунте, скорей всего, существует оболочка php-shell и код может восстановится опять. Я начал проверять все файлы с расширением php и везде он присутствовал. Затем он обнаружился и в файлах с другим расширением, я восстановил сайты из бэкапа (а зараженными оказались еще и сайты на поддоменах, даже нерабочие), но доступ к сайту закрыл, так как не знаю, как обнаружить и удалить этот php-shell. Что посоветуете по этому поводу, учитывая то, что я полный чайник.

    • admin пишет:

      Рамиль, я тоже небольшой специалист. Посоветовать могу вот что: начало вируса вбейте в поиск и посмотрите на советы людей, которые с ним сталкивались.

  2. Светлана пишет:

    Ой, забыла спросить. А чем плох метод удаления вируса через админку. Я именно так и удаляю. Он прекрасно виден в файле. Может чего-то не допонимаю? :)

    • admin пишет:

      Светлана, я рекомендую удалять с помощью файлового менеджера хостинга (а не с помощью FTP), потому что может произойти заражение Вашего компьютера. А в админку я попросту не мог попасть — меня туда FireFox категорически не пускал.

  3. Светлана пишет:

    Спасибо. Тоже воюю с таким вирусом на двух сайтах — удалю, а через время они тут как тут. Но чистила тоже только рабочую тему. теперь и остальные почистила. будем надеяться, что на этом всё :) Очень не хочется, чтобы был второй код.

    Но вы обязательно напишите, пожалуйста, как получите ответы :)

    • admin пишет:

      Светлана, ответил пока только Яндекс, но в своем стиле: раз Вы предполагаете, что на сайте может быть вирус, значит, он там может быть. Вам (т.е. мне) надо все тщательно проверить.И все. Остальные пока молчат.

  4. Elena пишет:

    Спасибо, за подробную статью. Удалила вирус во всех установленных темах. Не разобралась с отключением доступа по FTR , т.к. у меня хостинг TIMEWEB.

    • admin пишет:

      Elena, если Вы хотите отключить доступ по FTP, но не знаете как это сделать, обратитесь к техподдержке — они Вам обьястнят. Не советую только просить их просто отключить: они-то отключат, но если Вам потом надо будет обратно включить, столкнетесь опять с этой же проблемой.

  5. alexandr пишет:

    Спасибо,понял хорошо что ничего не сделал кроме как не удалил коды с двух тем, но я не много не понял они могут находится кроме как в functions.php? и еще поставил на перепроверку как яндексом так и гуглом ,знаю что яндекс долго проверят а на счет гугла не сталкивался, сколько у Вас времени прошло? а то весь трафик ушел. Спасибо за статью ,у меня особо времени и я точно бы не знал, где точно он расположен и то что гугл это показывает тоже бы не знал.

    • admin пишет:

      alexandr, я тоже понятия не имею, где могут находиться еще куски вируса. И есть ли они вообще. Поэтому и отправил вирус в антивирусные лаборатории с моими комментариями.

      Насчет времени. Google у меня перепроверял часов 5-6, а Яндекс — 4,5 дня.

  6. alexandr пишет:

    Вот именно с такой проблемой я щас и сижу,нашел этот код. вот только не пойму как «снести зараженную тему» ???

    • admin пишет:

      alexandr, как выяснилось, сносить зараженную тему никакого смысла нет. Надо во ВСЕХ темах, которые у Вас имеются на сайте (и активированные, и неактивированные) проверить и удалить код вируса. Возможно, вирус будет не до конца удален, по крайней мере, я так думаю, но тут я посоветовать ничего больше не могу.

      Вирус с предложениями моей всемерной помощи я отправил в три антивирусные компании, надеюсь, что они или найдут еще кусок вируса, или успокоят меня сообщением, что ничего на сайте больше нет. О результатах их проверки я, конечно, напишу, так что Вы тоже узнаете. Чтобы не пропустить, можете подписаться на рассылку.

      Выражение «снести зараженную тему» означает ее удаление с сайта.

      Google и Яндекс вполне удовлетворены результатами моей работы, с сайта сняты все ограничения и предупреждения в выдаче. Так что можете делать все точно так, как написано, и у Вас тоже все будет хорошо. Завтра опубликую продолжение статьи.

Оставить комментарий

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>