Внимание! Массовое заражение WordPress блогов
Здравствуйте дорогие друзья.
Спешу сообщить вам очень важные новости, в январе этого года началось массовое заражение WordPress блогов вирусом JS:Redirector-MR [Trj].
Как вы поняли из названия вируса: он осуществляет перенаправления пользователей вашего блога на другие сайты.
Причём на него реагирует, только один антивирус – Avast. Но это пока, что!
Итак, пока поисковые системы, а так же более крупные антивирусы, например Kaspersky, не обновили свои базы и наши сайты не начали терять драгоценных пользователей, пора принимать меры!
Для того чтобы проверить есть ли эта пакость на вашем сайте нам нужно будет сделать следующее:
Переходим в файл функций вашей темы functions.php, и в самом низу вас ожидает вот такой вот сюрприз:
![JS:Redirector-MR [Trj]](wp-content/uploads/2012/01/virus.jpg "JS:Redirector-MR [Trj]")
Если этого кода нет, то радуйтесь, а если есть, то поздравляю — ваш сайт заражён!
Но вернёмся к коду:
Это тот самый JS:Redirector-MR [Trj], удаляем этот код и всё – ваш блог исцелён.
Теперь идём сюда:
Вводим адрес вашего блога, ждём 10 минут, и смотрим, нет ли в вашем детище ещё какой либо пакости.
Ну вот и всё, пост короткий так как написан в попыхах. Но главную мысль я до вас донёс, теперь внимание:
Если вы обнаружили на своём сайте такой вирус, то обязательно поведайте вашим читателям об этой заразе.
Всегда ваш Мудрый Кот.
Подписаться вы можете с помощью
или 
, но самый удобный способ это:
Ещё по теме:
Итоги 2-х конкурсов + немного новостей
Как пройти идентификацию в WebMoney и Яндекс.Деньги + (как это сделать до 18)
Немного о планах: на блог и мою жизнь
Как «оживить» блог созданный под продажные ссылки
Купил DLE. Пишу мои первые впечатления
Опубликовано: 10 января 2012, в рубрику Мои заметки.
Теги: вирус JS:Redirector-MR [Trj].
Поделись статьёй с друзьями:
I место - Сквозняк!
II место - Заметка!
III место - 200 Рублей!
Подробнее о конкурсе тут.
- Рубрики
- Архивы
Как создать сайт с онлайн фильмами
Создание
Раскрутка
Монетизация
Как создать шаблон и дизайн для сайта
Макет
Разметка
Вёрстка
- Лучшее
- Советую
- Новое
Как создать сайт с онлайн фильмами, раскрутить его и заработать на нём (часть 1)
Выделите ошибку и нажмите Ctrl + Enter, ставим систему «Анти-ошибка» на свой сайт
Как создать фон для своего блога? Не знаешь? Тогда читай!
Как создать сайт с онлайн фильмами, раскрутить его и заработать на нём (часть 2)
Как создать шаблон и дизайн для сайта (часть 1)
Как создать сайт с онлайн фильмами, раскрутить его и заработать на нём (часть 3)
Как заработать на посещаемости сайта?
Смайлики в WordPress – установка, замена, редактирование!
Как увеличить количество кликов по рекламе?
- Комментаторы
- Комментарии
 Dimson(33) |
 Miroslavs(22) |
 BoardFree(17) |
 SEOpmr(14) |
 eugen(12) |
Записки ночного блогера
Blogger.omg-linux
Miroslavs
Эх, пользуйтесь менее популярными CMS, и да прибудет с вами безопасность.
[Ответить]
никто не застрахован
[Ответить]
Алсо, хороший хост — залог успеха. Тут делал это и-магазан, (читатели в курсе), на хостинге клиент даже cpanel нет, что напрягает…
[Ответить]
подсознание кричит: опасность детектед ><
после этого поста боюсь нажимать на ссылку
Antivirus-alarm.ru
[Ответить]
А где дырка? Вообще не ставьте на всю папку прессворда
права 777, а то ведь находятся кадры, которые разрешают всему рунету писАть в свои скрипты. Курить надо маны по распредлению прав, и там, где только возможно, оставлять права только на чтение.
Но это поверхностный, так сказать, взгляд админа.
И как насчёт апдейтов, закрывающих дыру?
ps: что-то глючит отправка комментария
[Ответить]
Скорее всего, вирь через хостинги запустили, но всё равно ждём обновлений cms.
Насчёт прав спасибо, пойду сейчас почитаю что там да как, а насчёт комментариев не знаю у меня всё вроде в порядке
[Ответить]
У меня вчера такие же глюки были на хостинге. Это у немцев что-то подлагивало)
[Ответить]
как он вообще может попасть на сайт?
[Ответить]
способов куча, начиная с дырявой cms и заканчивая косяками со стороны хостинга
[Ответить]
Спасибо, полезно =) Я чист =)
[Ответить]
Фигасе новости… Этого вируса слава Богу не обнаружил, ща тестю бложик Авастом
[Ответить]
Хух
Меня бог миловал 
Возможно потому, что в этом году еще постов небыло. Спасибо за предупреждение — буду во всеоружии 
Вопрос не по теме — смайлики Ваши или можно где в сети разжится, очень они под кошачьи блоги подходят
[Ответить]
[Ответить]
Мой антивирус орал, как резанный, когда пыталась зайти к тебе.
[Ответить]
Пошла обследовать свои блоги. Спасибо!
[Ответить]
Странно, вторая запись, что антивирус разрывается. А вот мои молчит. Проверила на ноуте-тоже тишина.
[Ответить]
Сегодня нормально, а вот два дня зада так и было.
[Ответить]
была у меня такая хня на бесплатном хостинге мегабиет.нет. Ушёл я оттуда. Конечно эта зараза через хостинг попадает.
[Ответить]
Интересно, а как это сделать через хостинг?
Предположим, где-то выцепили доступ, хотя тут нужен root, а он, как правило, защищён. Получив рута стали заниматься такой ерундой, когда можно наделать дел намного масштабнее (массовая рассылка, дорвеи, промежуточный хост для атак и т.д.).
Остаётся дыра в движке. Где-то можно заинклудить js. Кстати у меня тут напрочь сайт упал на wp, чувствую там что-то серьёзное.
[Ответить]
Вот, не знаю где взял, но забей в поиск может найдёшь оригинал:
1. Хакеры взламывают один из сайтов на сервере (чаще воруют пароли FTP) и загружают туда backdoor скрипт – PHP файл, который выполняет зашифрованный команды присланные в параметрах POST-запроса.
2. Дальше этот скрипт запускает бинарный файл, который (скорее всего) перехватывает сетевое соединение запустившего его процесса апача, и в дальнейшем притворяется обычным апачем и обрабатывает входящие запросы (на все сайты), возвращая вредоносный ответ. Так как этот процесс “замещает” лишь один из дочерних процессов апача, то вредоносные ответы возвращаются лишь на часть запросов. К тому же через какое-то время этот процесс отмирает и вредоносные ответы пропадают до следующей активации скрипта.
Чтоб найти backdoor скрипт, нужно
1. просканировать весь сервер (все клиентские директории) на предмет PHP кода, который использует конструкцию eval(base64_decode(.. (правда в последнее время её стали шифровать)
2. Проверить логи апача (для всех сайтов) на предмет подозрительных POST запросов. Проверьте файлы, к которым идут эти запросы.
[Ответить]
Так это что за хостинг, где можно управлять апачем?))
Не представляю, что бы с фтп из под юзера можно было запустить демона.
Это наверное вин-сервак, тогда понятно.
В общем, не перевелись на Руси криворукие админы.
Я вот 2.5 дня бана схватил просто за включенный дебаг в движке.
С таким хостером думаю 3 раза, прежде чем что-то сделать.
[Ответить]
У меня в инет-магазине тоже заражение началось с возникновения в индексном файле такой-вот бяки:
(Мудрый Кот удалил код ибо не нужны нам коды вирей в комментах =Р)
Я не программист, но, видать это та же хрень!
[Ответить]
Я тоже не могла зайти. Да, ругался Аваст. Я предполагала, что взломать можно только панель админа, или самому занести какую-нибудь дрянь через сторонние скрипты. А тут…
Мне такие проблемы не светят — Blogger защищает Гугл, а домен припаркован на бесплатном хостинге Яндекса. Эти «монстры» должны защитить.
[Ответить]
Должны
[Ответить]
Ага, так защищают, что у некоторых областей доступ отрубили к блогспот.ком без всяких разговоров, а так всё в порядке
.
[Ответить]
Подробнее
На ум только robots.txt приходит
[Ответить]
Ну вы же сами слышали, как толпа расвирепевших юзеров везде писала,
что не могут попасть на свой блог. Через два дня их пустили.
А ещё с форума помню несчастных казахов и армян, кторым тоже нельзя.
[Ответить]
Это прошло мимо меня. Были проблемы с входом в редактор шаблонов HTML, но больше вроде читатели ни на что не жаловались. Я на форумах не частый гость. Может технические ошибки какие, но в большинстве случаев пользователи сами меняют код, но не совсем корректно.
А почему казахам и армянам нельзя-то? Есть официальная инфо?
[Ответить]
Про Казахстан было написано, что им официально ограничивали доступ.
А про армян знаю только от пользователей.
Да, ещё была информация, но не подтверждённая, что гугл ограничил в доступе ряд подсетей, якобы из-за дос-атак.
[Ответить]
Насколько я понимаю, здесь нет инициативы Гугла. Блокировку осуществляет их провайдер — . Похожай история была с Китаем в своё время.
[Ответить]
Хе-хе, да моего провайдера гугл начисто банил.
Мне даже поиск не был доступен, о чём я плакался в блоге несколько раз: ввод капчи и бан
Сколько я не общался с другими админами, все в один голос утверждали, что никогда не перекрывали доступ к сервисам гугла, это невозможно, народ порвёт, как грелку.. за такие вещи.
[Ответить]
Была похожая ситуация, но скрипт немного другой, узнал только когда пришло письмо от яндекса что типа на вашем сайте имеются вредоносный код удалите его.
[Ответить]
спасибо
проверился — все гуд! не подскажешь откуда известно стало о вирусе?
[Ответить]
тут очень долгий путь о том как я узнал, поэтому писат смысла нет но если коротко:
из блогосферы
[Ответить]
[Ответить]
Я тоже это замечал,думал глюк.
[Ответить]
Ничего этот сервис не проверил, денег просит. Ага, сейчас, разбежался
[Ответить]
Странно у меня не просит)
[Ответить]
колёсико крутится уже третий день и ничего не показывает, я взял и зарегился (подумал может нужно), а там уже просят пополнить счёт. 100р в месяц за мониторинг сайта.
[Ответить]
Надеюсь эта зараза ко мне не попадет)
[Ответить]
[Ответить]
Фух, мой сайт чист, ничего подобного не нашел)
[Ответить]
Я нашла на своем сайте такой код, удалила, неделю было нормально.Сегодня опять сказали,что вирусы, я конечно удалю. И что, это будет длиться бесконечно? Что делать чтобы обезопасить сайт? Подскажите.
[Ответить]
Что вы пристали к хостингу. Какие то фантастичные способы заражения приводите. Вирусописателей такие не интересуют. Им нужна пандемия. Она достигается только лишь простыми способами. Бойтесь 2-х из них:
1. Уязвимость в движке. Злоумышленнику удается записать в базу вредоносный html, который отображается на странице. Или вообще изменить файл. Это взлом по полному. Возможен когда на хостинге web-пользователь не выделен.
2. На зараженном компьютере вирус сканит сохраненные пароли клиентов FTP. С этого же компа подключается по FTP, сканит файлы и заражает нужные.
Профилактика 1-го. Обновляйтесь почаще.
2-го. Не храните пароли в клиентах. С любого клиента можно выдернуть пароль! Используйте .ftpaccess. С помощью него можно разрешить доступ только с определенного IP или от определенного инет-провайдера. А еще лучше блокируйте FTP на хостинге. Используйте SSH+WinSCP. Пока нет вирусов работающих по SSH. К тому же работать с SSH+WinSCP в 10 раз приятнее, быстрее и стабильнее, чем Total Commander+FTP
[Ответить]
У меня Avast обнаруживает в wp-includes\js\comment-reply.js
Хотя при открытии файла в блокноте кода не вижу.
[Ответить]
У меня эта зараза появилась в начале недели
Его по прежнему берет только аваст 
Яндекс прислал письмо с уведомлением о вирусе и сразу вспомнилось, что в закладках пост на эту тему от Мудрого кота 
Вредоносной код был где описано. Удаляю, проверяю — сайт чистый. Посылаю яндексу письмо с просьбой перепроверить сайт, а через три дня получаю письмо, что сайт опять заражен 
Это, что теперь каждый день эту гадость удалять прийдется 
[Ответить]
Мне кажется пакости бывают еще из-за хостера. У меня вирусы были на сайтах, а потом оказалось. что весь сервер был заражен. Пользуйтесь проверенными хостерами, а лучше VPS
[Ответить]
офигеть!! только что был уверен что у меня все хорошо, проверил сайты.. один с этой заразой. Спасибо!
[Ответить]
ага.. кеш надо чистить,перед тем как второй раз проверять, а то я подумал что ничего не получилось
[Ответить]
Извините конечно за флуд, но поделюсь ссылочкой, как я у себя в блоге рассказал про вирус на WOrdPress и вас упомянул/
PS У вас красивый и интересный сайт. Приятно читать.
[Ответить]