Доброго времени суток! Тема сегодняшнего поста не планировалась заранее, но события сегодняшнего утра натолкнули на ее написание. Итак, тема сегодняшней статьи: "Вирус на сайте. Как найти вирус и удалить его". До сегодняшнего для не приходилось сталкиваться с подобным. Но включив утром компьютер и подключившись к интернету, при загрузке одного из сайтов, антивирус Касперского показал, что на сайте вирус Trojan.JS.Redirector.ZT.
Как проверить сайт на вирусы
Проверка различными сервисами не давала результатов, все показывали, что вирусов на сайте не обнаружено, но Касперский настаивал на своем. Единственный сервис для онлайн проверки сайта на вирусы нашел вредоносную программу. Вот
После проверки этим сервисом, он показал, что действительно сайт содержит вирус:
Вирус выявлен. Но теперь нужно вручную проверить все файлы, найти и удалить вредоносный код Trojan.JS.Redirector.ZT.
Как удалить вирус Trojan.JS.Redirector.ZT из файлов шаблона
Первым делом, я ввела в поисковик Trojan.JS.Redirector.ZT и в результатах выдали была ссылка на форум, где люди обсуждали аналогичную ситуацию. Вирус новенький, появился на днях. И прописывается он у всех в файле functions.php. У меня он был выявлен в самом конце файла functions.php и имел следующий вид:
В других файлах темы этого скрипта не выявлено. Хотя, говорят, что он может прописываться и в файлах с расширением .php. Поэтому, если у Вас на сайте завелся вирус Trojan.JS.Redirector.ZT, то проверьте и их.
Как не допустить попадания вирусов на сайт:
- Не храните пароль для доступа в админку в браузере. У меня он был сохранен.
- Обновляйте движок WordPress до последней версии, а также плагины.
- Не ставьте на сайт кодов непроверенных партнерок. Если вам предлагают установить не обычный баннер (картинка и ссылка), а iframe код. Проигнорируйте это предложение, даже если за него обещают оплату выше стандартной.
А, если на сайт забрался вирус, то сделайте следующее:
- Почистите шаблон от вредоносных кодов.
- Обновите WordPress до последней версии.
- И не забудьте сменить пароль доступа к сайту.
На этом у меня все. Надеюсь теперь Вы сможете самостоятельно удалить вирус Trojan.JS.Redirector.ZT с сайта. Если у Вас была подобная ситуация, то пишите в комментариях.
По вашей статье я не поняла какие строчки оказались вирусом. Вы их просто удалили?
Ищите у себя в коде шаблона бессмысленные наборы символов. Если Вы совсем новичок, лучше поручить это дело специалисту фрилансеру. Сэкономите время.
Функция JavaScript представлена как текст, что недопустимо. На это указывают экранирующие символы.
Елена, так в последнем скрине видно же в самом конце кода, абру кадабру и непонятных символов, вот это и есть вирус
Добавлю сервис в закладки, буду периодически проверять. Пароли в браузере уже давно не храню, пользуюсь для защиты плагином ithemes security
Не самый удобный сервис. Есть варианты получше. Этот sitecheck.sucuri.net лично мне больше помог.
Интересно, тоже писал статью на эту тему, у вас подчерпнул новенькое, спасибо!
Я нашел сервис, который указывает, на какой именно скрипт ругаются антивирусы. А то большинство подобных сервисов только указывает, какой именно антивирус подозревает сайт в распространении вредоносного ПО. Отправил ссылку в личку. Может Виктория напишет статью. Мне данный сервис помог в свое время.
Яндекс на сайте что-то нашел и начал выводить предупреждение о вирусе. Антивирус-аларм ничего не обнаружил. Гугл тоже ничего не видит. Пишу в техподдержку Яндекса — ответа нет. Действительно на сайте какая-то зараза или у Яши просто глюки?
Возможно это глюк Яндекса. Такие случаи тоже бывают. Проверка сайта на вирусы ничего не обнаружила. Ждите ответа от службы поддержки, они в течении суток должны ответить.
Ответили, что «обнаружили код, автоматически перенаправляющий посетителей на следующий вредоносный ресурс: getupd.net при посещении сайта с мобильных устройств» антивирусник ничего не показывает, не знаете где эта гадость может размещаться?
Ищите эту гадость в файле .htaccess
Каким хостингом пользуетесь?
Спасибо за подсказку — именно в файле .htaccess и была эта гадость. Хостинг wphost.me — мне по рекламной акции достался. Сейчас они вообще сервера в Нидерланды переместили. Служба поддержки ответила, что это не их проблемы, а дыра в шаблоне
Может быть дело и в шаблоне. Паблик шаблоны часто содержат уязвимости.
Теперь волнуюсь за свой блог, надо обязательно его проверить, а то мало ли что!
Лучше самому найти вирус прежде чем поисковик его найдёт и заблокирует сайт
Сейчас проверил свой блог на вирусы по ссылке с Вашей статьи.
Слава богу все чисто!
Подобной ситуации не было. Тьфу-тьфу…
После удаления эта гадость через время у меня на блоге снова появлялась несколько раз, пока права доступа для файла functions.php не были установлены только для чтения.
Мне эти парни почистили сайт antivsite.ru, сделали быстро, уже месяц работает сайт, вирусы не вернулись:)
Больно хитрые парни, была ситуация только пришло от Яши пришло письмо о обнаруженном вирусе сразу пришло письмо от antivsite.ru типо поправим исправим за деньги. Очень странно удалил вирус сам. Кто нибудь сталкивался с такой ситуацией??
Подобная ситуация, пару раз годика полтора назад была.
Но я сам всегда все делаю
Могли сами вирус загрузить, а потом обратиться с предложением удалить вирус.
Огромное спасибо за статью… пришло уведомление от яндекса, не знал что делать.. прочитал удалил за 15 минут..
Не очень понятно,как чистить сайт от вируса.Пожалуйста,объясните более подробно по Вашим пунктам.
Вот п.1.У Вас написано»Почистить шаблон И вредоносных кодов»,может Вы расшифруете,к чему относится союз И,и нужен ли он здесь?
Если эта фраза пишется по другому,пожалуйста исправьте!
Теперь по существу,может Вы поясните пошагово,что значит почистить шаблон.и когда я увижу в редакторе,что вируса нет?
Заранее спасибо.Очень жду ответа.
Союз и действительно не к чему, ошибку исправила, спасибо.
Сначала нужно определить какой вирус забрался на сайт, для этого сделайте проверку сайта с помощью сервиса, указанного в статье.
Далее, лучше сначала ввести в поисковик название вируса, возможно кто-то сталкивался с таким и успешно справился с ним, описав алгоритм удаления.
В моей статье описано как бороться с вирусом Trojan.JS.Redirector, вредоносный код, которого находится в файле функции.
Скрины показывают, что много антивирусов не смогли распознать вирус, среди которых знаменитые антивирусы.
Пост, действительно, полезный. Та же беда приключилась. Только что почистила шаблон. Все файлы php ещё не смотрела, но код был найден в functions.php. Это уже третья атака, с каждым разом код всё сложнее найти.Замучилась менять пароли.
У меня на сайте сидит вирус JS.Redirector.RS, думаю эта проблема не только у меня, а еще у многих блогеров. В интернете про этот вирус ничего не нашел, не могли бы вы об этом что-нибудь написать.
Эта статья как раз о том как удалить вирус JS.Redirector. У Вас немного другая модификация вируса JS.Redirector.RS, но удаляется он аналогично.
Огромное спасибо автору за статью!!!!!! у меня так же! тоже самое даже в админку не пускал вирус! антивирус ругается — не пускает меня на мой же сайт!!!!! Всё успешно удалила! причем, на двух моих сайтах такой вирус был!