Как обнаружить и удалить вирус JS:Redirector-MR [Trj] на сайте? |

Время чтения: 6 мин.

Недавно один мой сайт-сателлит подвергся вирусному заражению. Когда это произошло, я не знаю: не прикасался к нему очень давно – несколько месяцев. Это потом будет иметь определенное значение.

В статье рассмотрим вопросы:

  1. Заражение  вирусом. Как это было
  2. Самые первые действия по предотвращению дальнейшего заражения
  3. Как на хостинге отключить доступ по FTP
  4. Определение типа вируса
  5. Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера
  6. Что сообщает Google о вирусе JS:Redirector-MR [Trj]?
  7. Как удалить вирус с сайта?
  8. Продолжаем удалять вирус в других темах (шаблонах)

1. Заражение вирусом. Как это было

Предыстория вопроса такова. Первым мне сообщила о заражении одна из бирж, куда я добавил свой сайт. Проверка мною этого сайта антивирусами ничего не показала (а их было более 40 шт!). Чуть позже Яндекс мне сообщил письмами по всем известным ему моим почтовым ящикам  о заражении сайта, кроме того в Яндекс.Баре на Панели инструментов появился значок о заражении одного из сайтов вирусом:

Как удалить вирус JS:Redirector-MR [Trj]?Рис.1

Зашел в Яндекс.Вебмастер посмотреть, что за вирус такой, оказался — Troj/JSRedir-GS. Название вируса мне ни о чем не говорит, полез в «Помощь» Яндекса в раздел «Безопасность сайтов». Перешел на страницу «Вердикты» — а об этом вирусе ничего нет. Видимо, он или новый, или редкий. Позже я выяснил, что ему от роду уже несколько месяцев (с декабря 2011г.) и почему-то он особенно «любит» российские и бразильские сайты.

Практически сразу же начал беспокоиться антивирус Avast! , установленный в моем компьютере, но я невнимательно прочел его сообщение (это, как потом выяснилось, тоже важно). Но Avast! как-то странно повел себя: то он показывает вирус, то – нет. Причем обычно было так – при первом заходе вирус как бы есть, а при повторном заходе на эту страницу как бы его нет.

Кстати, из всех бесплатных антивирусов его определяет только Avast! Кто хочет скачать аваст бесплатно – перейдите по ссылке. Конечно, его можно скачать и на сайте разработчика.

2. Самые первые действия по предотвращению дальнейшего заражения

Я решил прежде всего обезопасить другие свои сайты. Поскольку с зараженным сайтом мне хочешь -не хочешь приходится сейчас довольно плотно общаться, то довольно велика вероятность, что произойдет заражение компьютера, а через него – других сайтов (через Ваш FTP- клиент).

Чтобы не допустить этого я сделал:

  • Удалил сохраненные пароли из FTP- клиента (увы, увы!)
  • Отключил на хостинге доступ с помощью FTP – клиента.
  • Все работы с сайтом стал проводить исключительно с помощью файлового менеджера хостинга.

3. Как на хостинге отключить доступ по FTP

Этот мой сайт располагается на хостинге jino.ru, поэтому все действия и будут показаны именно на его примере. На других хостингах должно быть все аналогично, если не разберетесь сами – обращайтесь к техподдержке.

Заходите в свой аккаунт и далее переходите во вкладку «FTP- аккаунты»:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.2

Нам надо всего лишь сдвинуть ползунок в левое положение (как на скриншоте) и все, доступ закрыт. Правда теперь необходимо будет каждый раз, когда появляется желание поработать с FTP, надо предварительно переместить этот ползунок обратно и доступ снова будет открыт. Это можно обойти, если сделать специальный файл на сайте и прописать в нем IP адреса, с которых доступ разрешен. Но это тема отдельной статьи.

После этого я провел повторную проверку сайта и один из он-лайн сервисов показал, что вирус засел в одном из плагинов. Удалил плагин – антивирус успокоился. И я успокоился, а зря: перепроверка Яндекса показала, что вирус по-прежнему на сайте. – Видимо, это был тот самый момент когда  вирус себя просто не проявлял и поэтому avast! его и не увидел.

Вывод: кавалерийская атака на вирус не удалась, придется перейти к долговременной осаде.

4. Определение типа вируса

Яндекс, как известно, обнаруживает антивирусы в сотрудничестве с sophos.com, пошел – там ничего, кроме призывов купить антивирус, — толком ничего нет. Или я не нашел. Порадовало одно – степень опасности этого вируса оценивается ими как низкая.

Погуглил. Совет был такой: снести зараженную тему (шаблон) и будет ОК. Так и сделал, вроде бы вируса не стало. Опять Яндекс этот сайт перепроверил и опять он показал, что вирус по-прежнему на сайте.

И вот тут-то я обратил внимание на то, что Avast! показывает совсем другой вирус — JS:Redirector-MR [Trj]. Я не знаю почему, но, кажется, один и тот же вирус обозначается по разному. Погуглил по этому вирусу, результатов в выдаче много, но они все несколько однообразные. Нет, там написано все правильно, но не до конца.

Смысл всех статей такой: вирус засел в файле functions.php (в самом низу файла), приведены скриншоты вируса и способы удаления. Сейчас я опишу то же самое, но применительно к файловому менеджеру хостинга.

5. Поиск вируса JS:Redirector-MR [Trj] на сайте с помощью файлового менеджера

Чтобы на Вашем хостинге попасть в этот файл и отредактировать его, Вам надо зайти в нужный (зараженный) сайт, перейти в папку wp-content, далее выбрать установленную тему и уже в ней найти этот файл:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.3

Вверху в прямоугольнике показан путь до темы (default).

У вас на хостинге картинка почти наверняка будет отличаться – у jino.ru самописная панель управления. Но принцип должен быть тот же самый. Кликаете на значок редактирования файла (карандаш), у Вас открывается страница с содержимым файла, смотрите в самом низу:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.4

Все, что идет после красной вертикальной черты и есть вирус. Четверть дела сделано – вирус JS:Redirector-MR [Trj] мы нашли.

Почему я уверен, что это вирус?

Во-первых, об этом сообщали другие вебмастера.

Во-вторых, через три (!) дня проснулся Google и в Инструментах для веб-мастеров тоже сообщил о найденном вирусе. Хотя перед этим он не  видел – я несколько раз заставлял его перепроверить мой сайт: всегда было одно и то же – «вредоносного кода не обнаружено». Тут вариантов два: (1) Google научился определять этот вирус самостоятельно или по подсказке других (предполагаемый путь Яндекс – Mozilla — Google) и это лучший для меня вариант или же (2) вирус потихоньку расползается по сайту и только теперь Google смог его найти  – худший вариант.

В третьих, и это самое главное, я сравнил файлы functions.php на сайте и в заведомо чистом WordPress’е этой же версии: там этого кода нет (в WordPress’е потому, что рабочую тему я снес раньше и поиск вируса проводил на дефолтной теме, которая идет в составе самого WordPress’а).

6. Что сообщает Google о вирусе JS:Redirector-MR [Trj]?

У подавляющего большинства вебмастеров Google ничего не сообщат об обнаруженном вирусе, мне – сообщил. Видимо, после моих многочисленных команд «Проверить сайт». Google, хоть и обнаружил вирус позже, чем Яндекс, но дает вебмастеру гораздо больше информации.

Чтобы увидеть подробное сообщение Google о вирусе, заходите в Инструменты для веб-мастеров и в списке сайтов видите неприятное сообщение .Выглядит оно так :

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.5

Чтобы и у Вас раскрылось окно «Проверка состояния сайта» (на скриншоте в левом нижнем углу) необходимо кликнуть по одноименной ссылке (показана стрелкой). Чтобы увидеть какое именно вредоносное ПО обнаружено поисковиком, кликните по ссылке  «Обнаружено ли вредоносное ПО?»

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.6

В столбце «Проблемные URL на сайте» будет показан перечень обнаруженных зараженных страниц. Напротив каждой обнаруженной зараженной страницы будет стоять ссылка «Сведения». Кликните по ней:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.7

Вот этот код вируса (жаль, что Яндекс такой картинки не показывает – было бы намного легче.). Этот код надо удалить.

7. Как удалить вирус JS:Redirector-MR [Trj]?

Я предлагаю сделать это вручную, хотя можно и с помощью плагина Web Security Tools. Как это сделать, хорошо описано  здесь .

Для ручного удаления вируса, следует выделить мышью весь вирус до самого конца:

Как обнаружить и удалить вирус JS:Redirector-MR [Trj]?Рис.8

И нажимаете клавишу «Delete». После этого надо нажать кнопку «Сохранить» (расположена ниже, на скриншоте не видно). Все, вирус почти удален. Почему почти? – Читаем дальше.

8. Продолжаем удалять вирус в других темах (шаблонах)

Сколько у Вас на сайте стоит шаблонов? Один-два установленных в WordPress по умолчанию и еще как минимум один – рабочий. И во всех этих темах сидит вирус! В том же самом файле functions.php.

Помните, в начале статьи я писал, что удалил с сайта рабочую тему? Посмотрите на скриншоты  (например, на рис.5) там показано, что все действия я делал на дефолтном шаблоне. Он тоже оказался зараженным, как и все другие темы на этом сайте. Поэтому на своих  сайтах откройте другие темы, проверьте и все сделайте как в первый раз.

Теперь Вы понимаете, почему я писал, что вирус JS:Redirector-MR [Trj] расползается по сайту.

Некоторые люди жалуются, что через некоторое время вирус на сайте появляется снова. Тут вариантов два.

Первый: вирус имеет несколько составляющих и одна из них контролирует наличие на сайте этого вредоносного кода. Как найти эту составляющую я пока не знаю, поэтому выделенный вирус отправил на исследование Касперскому, Dr.Web’у и Яндексу – пусть разбираются.

Второй: вирус сидит на сервере хостинга. Значит, надо бороться там и причем самим, на техподдержку хостинга здесь никакой надежды нет.

В любом случае полдела – обнаружили и удалили вирус JS:Redirector-MR [Trj] с сайта – мы сделали. Но это еще не все, нам предстоит еще кое-какая работа. Обо всех Ваших последующих действиях, в том числе и по предотвращению заражению сайтов, мы поговорим в другой статье.

Похожие записи по этой теме:

Раздел: Без рубрики