удаление вируса Troj/JSRedir-MN

Очень часто обращаются владельцы сайтов с просьбой помочь очистить сайт от Troj/JSRedir-MN.
Вирус довольно распространенный и встречается на любых движках. Как можно понять из названия, расположен в каком либо яваскрипте подключенном на сайте.

Причина появления в каждом случае разная: увод пароля фтп, дырка в шаблоне, старые версии движка или модулей/плагинов, использование шаблонов взятых с сайтов с «бесплатными» шаблонами.

Искать нужно такие варианты вызова (название и путь могут быть любыми):
в яваскрипте (обычно в самом конце файла)

;document.write("<scr"+"ipt src='/administrator/help/en-GB/hellothere.js'><"+"/script>");

или в любом месте шаблона в шаблоне

<script type="text/javascript">
document.write("<scr"+"ipt src='/aniya.js'><"+"/script>");
</script>

Вставку нашли, открываем файл, содежимое скорее всего зашифровано:

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};
.....
|http|ykjvifbf|nitkiron|ru|scroll|js|Math|random|appendChild||clearInterval|new|Date|setTime|getTime|432000000|setTimeout|yes|path|expires|3000|200|window'.split('|'),0,{}));

*весь код не выкладываю, по соображениям безопасности.
Удаляем сам вредоносный файл и вызов из шаблона или яваскрипта.
Проверяем сайт ай-болитом (скрипт найти не сложно) на наличие возможный шелл-скриптов.
Если на вашем аккаунте хостинга есть еще сайты, обязательно тоже проверить их.
Обновляем движок и модули/плагины.
Меняем все пароли — фтп, админку, базу, панель хостинга, нажимаем перепроверку в яндекс-вебмастере.
Профит!!!

2 комментария

Аватар

Елена on 03.05.2015 at 11:15.

Ответить

kgtu5

kgtu5 on 03.05.2015 at 21:29.

Елена, а в чем вопрос или предложение ???

Ответить

Скажите свое мнение

ваш email не публикуется. обязательно *

;-) :yawn: :whew: :toivo: :tmi: :time: :thinking: :talking: :sweating: :swear: :sun: :star: :smoke: :smirk: :sleepy: :skype: :shock: :shake: :rofl: :rain: :punch: :puke: :poolparty: :pizza: :phone: :party: :oops: :nod: :no: :ninja: :neutral: :nerd: :music: :muscle: :mrgreen: :movie: :mooning: :mmm: :middlefinger: :makeup: :mail: :mad: :lol: :lipssealed: :kiss: :itwashtme: :inlove: :idea: :hi: :heidy: :heart: :headbang: :happy: :handshake: :giggle: :fubar: :flower: :evilgrin: :emo: :dull: :drunk: :drink: :doh: :devil: :dance: :cry: :cool: :coffie: :clapping: :cash: :call: :cake: :bug: :brokenheart: :bow: :blush: :beer: :bear: :bandit: :arrow: :angry: :angel: :^) :???: :?: :-| :-o :-P :-D :-) :-( :!:

 

*

code

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.