DomenForum.net - Trojan.JS.Redirector.ue

DomenForum.net (https://domenforum.net/index.php)

- Комната отдыха (https://domenforum.net/forumdisplay.php?f=19)

- - Trojan.JS.Redirector.ue (https://domenforum.net/showthread.php?t=141890)

superbiz, у меня такая же проблема. Точное название нашего трояна - Mal/JSIfrLd-A, это мелкий фрейм на сайте размером в пиксель.
У меня подобная тема на нулледе = nulled.cc/threads/224858/page-2
Вкратце:

Цитата:

зашла с макбука и увидела кажется как эта фигня выглядит - малюсенький фрейм размером в пару пикселейв верхнем левом углу. Если поставить багзиллу - фрейм пропадает. Т.е. его можно увидеть только при чистой мозилке. нашла, что он свежий, характерный признак - появляется папка .cache (у меня она появилась на всех ВП, в ней логи какие-то) и вроде как кто-то писал, что трой прописывается в одном из файлов wp-includes. Файлов там немало... как вариант предлагают заменить всю папку вп-инклюдс =/

Для того, чтобы такого не случалось, скачайте последнюю версию timthumb.php и обновите в своем шаблоне.или можно поставить сканер http://wordpress.org/extend/plugins/...ility-scanner/ этот плагин делает поиск среди всего установленого (сканит темы и плагины избавляя от ручного поиска по всем папкам) и если находит старую версию timthumb, то предлагает обновить. Эта процедура одноразовая. Так что после скана и обновления его смело можно сносить.

Короче, самый действенный способ- сохранить базу и папку с картинками, потом поставить чистый ВП той же версии, что была до этого, залить БД и поставить старый шаблон и папку с сохраненными картинками.

Как вариант - просто взять чистую папку вп-инклюдс той же версии ВП, что установлена, и заменить ее.

Естественно, надо это сделать на новом аккаунте, ибо все, что находится на старом - сразу заражается, если хоть гдето еще остался троян.

проблема решается гораздо проще, дали мне способ по нахождению в какомк файле вредоностный скрипт, чистка занимала максимум 2 минуты на сайт, никаких сохранений баз и тд, просто подгружается в корень скрипт, находит в каком файле на какой строчке код, и вы его удаляете.

можно полюбопытствовать, что за скрипт? =)

Нашла способ как быстро находить этот троян :D
Ставим на папку .cashe разрешение вместо 0777 - 0000 (т.е. полный запрет доступа), потом заходим на сайт. Эррор лог обновляется записью, в каком файле произошел фатал эррор доступа. Смотрим этот файл, код трояна будет в нем :D
В частности, у меня он засел в файле plugin.php.

если есть инфицированные сайты скиньте мне в личку, скажу что удалить и предварительно закачайте в корень и расспакуйте вот этот файл chamonixmountainguide.com/opr.zip

на ваших сайтах ничего не находит, вообще сами еще попробуйте. Запускаете вашсайт.ру/всо2.пхп

пароль root

в самом низу есть строчка ЕХЕЦУТЕ туда сначала вписываете первую команду

grep -i -n "preg_replace" `find -name "*.php"`

в центральном окне вам покажет все команды во всех файлах ПХП содержащие код прег-реплаце, не все эти команды вредны, но там где код вначале используется именно эта, в вредоносном коде после этой команды будет множество сиволов в виде абракадабры. в самом окне покажет какой файл и на какой строчке

если не нашли с помощью этой то идем в тот же ексекьют и вводим другую команду

grep -i -n "eval(" `find -name "*.php"`

принцип нахождения кода будет как и в первом случае