Недавно один мой сайт-сателлит подвергся вирусному заражению. Когда это произошло, я не знаю: не прикасался к нему очень давно – несколько месяцев. Это потом будет иметь определенное значение.
В статье рассмотрим вопросы:
- Заражение вирусом. Как это было
- Самые первые действия по предотвращению дальнейшего заражения
- Как на хостинге отключить доступ по FTP
- Определение типа вируса
- Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера
- Что сообщает Google о вирусе JS:Redirector-MR [Trj]?
- Как удалить вирус с сайта?
- Продолжаем удалять вирус в других темах (шаблонах)
Содержание статьи
- 1 1. Заражение вирусом. Как это было
- 2 2. Самые первые действия по предотвращению дальнейшего заражения
- 3 3. Как на хостинге отключить доступ по FTP
- 4 4. Определение типа вируса
- 5 5. Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера
- 6 7. Как удалить вирус JS:Redirector-MR [Trj]?
- 7 8. Продолжаем удалять вирус в других темах (шаблонах)
1. Заражение вирусом. Как это было
Предыстория вопроса такова. Первым мне сообщила о заражении одна из бирж, куда я добавил свой сайт. Проверка мною этого сайта антивирусами ничего не показала (а их было более 40 шт!). Чуть позже Яндекс мне сообщил письмами по всем известным ему моим почтовым ящикам о заражении сайта, кроме того в Яндекс.Баре на Панели инструментов появился значок о заражении одного из сайтов вирусом:
Зашел в Яндекс.Вебмастер посмотреть, что за вирус такой, оказался — Troj/JSRedir-GS. Название вируса мне ни о чем не говорит, полез в «Помощь» Яндекса в раздел «Безопасность сайтов». Перешел на страницу «Вердикты» — а об этом вирусе ничего нет. Видимо, он или новый, или редкий. Позже я выяснил, что ему от роду уже несколько месяцев (с декабря 2011г.) и почему-то он особенно «любит» российские и бразильские сайты.
Практически сразу же начал беспокоиться антивирус Avast! , установленный в моем компьютере, но я невнимательно прочел его сообщение (это, как потом выяснилось, тоже важно). Но Avast! как-то странно повел себя: то он показывает вирус, то – нет. Причем обычно было так – при первом заходе вирус как бы есть, а при повторном заходе на эту страницу как бы его нет.
Кстати, из всех бесплатных антивирусов его определяет только Avast! Кто хочет
2. Самые первые действия по предотвращению дальнейшего заражения
Я решил прежде всего обезопасить другие свои сайты. Поскольку с зараженным сайтом мне хочешь -не хочешь приходится сейчас довольно плотно общаться, то довольно велика вероятность, что произойдет заражение компьютера, а через него – других сайтов (через Ваш FTP- клиент).
Чтобы не допустить этого я сделал:
- Удалил сохраненные пароли из FTP- клиента (увы, увы!)
- Отключил на хостинге доступ с помощью FTP – клиента.
- Все работы с сайтом стал проводить исключительно с помощью файлового менеджера хостинга.
3. Как на хостинге отключить доступ по FTP
Этот мой сайт располагается на хостинге jino.ru, поэтому все действия и будут показаны именно на его примере. На других хостингах должно быть все аналогично, если не разберетесь сами – обращайтесь к техподдержке.
Заходите в свой аккаунт и далее переходите во вкладку «FTP- аккаунты»:
Нам надо всего лишь сдвинуть ползунок в левое положение (как на скриншоте) и все, доступ закрыт. Правда теперь необходимо будет каждый раз, когда появляется желание поработать с FTP, надо предварительно переместить этот ползунок обратно и доступ снова будет открыт. Это можно обойти, если сделать специальный файл на сайте и прописать в нем IP адреса, с которых доступ разрешен. Но это тема отдельной статьи.
После этого я провел повторную проверку сайта и один из он-лайн сервисов показал, что вирус засел в одном из плагинов. Удалил плагин – антивирус успокоился. И я успокоился, а зря: перепроверка Яндекса показала, что вирус по-прежнему на сайте. – Видимо, это был тот самый момент когда вирус себя просто не проявлял и поэтому avast! его и не увидел.
Вывод: кавалерийская атака на вирус не удалась, придется перейти к долговременной осаде.
4. Определение типа вируса
Яндекс, как известно, обнаруживает антивирусы в сотрудничестве с sophos.com, пошел – там ничего, кроме призывов купить антивирус, — толком ничего нет. Или я не нашел. Порадовало одно – степень опасности этого вируса оценивается ими как низкая.
Погуглил. Совет был такой: снести зараженную тему (шаблон) и будет ОК. Так и сделал, вроде бы вируса не стало. Опять Яндекс этот сайт перепроверил и опять он показал, что вирус по-прежнему на сайте.
И вот тут-то я обратил внимание на то, что Avast! показывает совсем другой вирус — JS:Redirector-MR [Trj]. Я не знаю почему, но, кажется, один и тот же вирус обозначается по разному. Погуглил по этому вирусу, результатов в выдаче много, но они все несколько однообразные. Нет, там написано все правильно, но не до конца.
Смысл всех статей такой: вирус засел в файле functions.php (в самом низу файла), приведены скриншоты вируса и способы удаления. Сейчас я опишу то же самое, но применительно к файловому менеджеру хостинга.
5. Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера
Чтобы на Вашем хостинге попасть в этот файл и отредактировать его, Вам надо зайти в нужный (зараженный) сайт, перейти в папку wp-content, далее выбрать установленную тему и уже в ней найти этот файл:
Вверху в прямоугольнике показан путь до темы (default).
У вас на хостинге картинка почти наверняка будет отличаться – у jino.ru самописная панель управления. Но принцип должен быть тот же самый. Кликаете на значок редактирования файла (карандаш), у Вас открывается страница с содержимым файла, смотрите в самом низу:
Все, что идет после красной вертикальной черты и есть вирус. Четверть дела сделано – вирус JS:Redirector-MR [Trj] мы нашли.
Почему я уверен, что это вирус?
Во-первых, об этом сообщали другие вебмастера.
Во-вторых, через три (!) дня проснулся Google и в Инструментах для веб-мастеров тоже сообщил о найденном вирусе. Хотя перед этим он не видел – я несколько раз заставлял его перепроверить мой сайт: всегда было одно и то же – «вредоносного кода не обнаружено». Тут вариантов два: (1) Google научился определять этот вирус самостоятельно или по подсказке других (предполагаемый путь Яндекс – Mozilla — Google) и это лучший для меня вариант или же (2) вирус потихоньку расползается по сайту и только теперь Google смог его найти – худший вариант.
В третьих, и это самое главное, я сравнил файлы functions.php на сайте и в заведомо чистом WordPress’е этой же версии: там этого кода нет (в WordPress’е потому, что рабочую тему я снес раньше и поиск вируса проводил на дефолтной теме, которая идет в составе самого WordPress’а).
6. Что сообщает Google о вирусе JS:Redirector-MR [Trj]?
У подавляющего большинства вебмастеров Google ничего не сообщат об обнаруженном вирусе, мне – сообщил. Видимо, после моих многочисленных команд «Проверить сайт». Google, хоть и обнаружил вирус позже, чем Яндекс, но дает вебмастеру гораздо больше информации.
Чтобы увидеть подробное сообщение Google о вирусе, заходите в
Чтобы и у Вас раскрылось окно «Проверка состояния сайта» (на скриншоте в левом нижнем углу) необходимо кликнуть по одноименной ссылке (показана стрелкой). Чтобы увидеть какое именно вредоносное ПО обнаружено поисковиком, кликните по ссылке «Обнаружено ли вредоносное ПО?»
В столбце «Проблемные URL на сайте» будет показан перечень обнаруженных зараженных страниц. Напротив каждой обнаруженной зараженной страницы будет стоять ссылка «Сведения». Кликните по ней:
Вот этот код вируса (жаль, что Яндекс такой картинки не показывает – было бы намного легче.). Этот код надо удалить.
7. Как удалить вирус JS:Redirector-MR [Trj]?
Я предлагаю сделать это вручную, хотя можно и с помощью плагина Web Security Tools. Как это сделать, хорошо описано
Для ручного удаления вируса, следует выделить мышью весь вирус до самого конца:
И нажимаете клавишу «Delete». После этого надо нажать кнопку «Сохранить» (расположена ниже, на скриншоте не видно). Все, вирус почти удален. Почему почти? – Читаем дальше.
8. Продолжаем удалять вирус в других темах (шаблонах)
Сколько у Вас на сайте стоит шаблонов? Один-два установленных в WordPress по умолчанию и еще как минимум один – рабочий. И во всех этих темах сидит вирус! В том же самом файле functions.php.
Помните, в начале статьи я писал, что удалил с сайта рабочую тему? Посмотрите на скриншоты (например, на рис.5) там показано, что все действия я делал на дефолтном шаблоне. Он тоже оказался зараженным, как и все другие темы на этом сайте. Поэтому на своих сайтах откройте другие темы, проверьте и все сделайте как в первый раз.
Теперь Вы понимаете, почему я писал, что вирус JS:Redirector-MR [Trj] расползается по сайту.
Некоторые люди жалуются, что через некоторое время вирус на сайте появляется снова. Тут вариантов два.
Первый: вирус имеет несколько составляющих и одна из них контролирует наличие на сайте этого вредоносного кода. Как найти эту составляющую я пока не знаю, поэтому выделенный вирус отправил на исследование Касперскому, Dr.Web’у и Яндексу – пусть разбираются.
Второй: вирус сидит на сервере хостинга. Значит, надо бороться там и причем самим, на техподдержку хостинга здесь никакой надежды нет.
В любом случае полдела – обнаружили и удалили вирус JS:Redirector-MR [Trj] с сайта – мы сделали. Но это еще не все, нам предстоит еще кое-какая работа. Обо всех Ваших последующих действиях, в том числе и по предотвращению заражению сайтов, мы поговорим в другой статье.
Похожие записи по этой теме:
- Блокировка нежелательного IP адреса
- Плагин Clearfy – находка для вебмастера
- Kama SpamBlock – плагин для борьбы со спамом
- Yoast SEO- лучший бесплатный SEO плагин
- Информация об информации
- Вышел WordPress 5.0
- Автоустановка WordPress на хостинге (на примере Sherlockhost.ru)
- Плагин All in One SEO Pack
- Как закачать WordPress на хостинг с помощью FileZilla
- Сайт умер. Что делать?