X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> Trojan.JS.Redirector.ue, wordpress
superbiz
superbiz
Topic Starter сообщение 15.2.2012, 0:23; Ответить: superbiz
Сообщение #1


кто сталкивался как лечить вордресс, около 25 сайтов на вордпресс схваватили эту гадость, определяют не все антивиры, каспер нашел при открытии, browser начал матерится дня три назад, яндекс smile.gif уже отметил у себя что сайты могут навредить компу, кто что слышал или пробовал?
Гуглил, ненашел smile.gif


--------------------
6
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Globusnic
Globusnic
сообщение 15.2.2012, 13:00; Ответить: Globusnic
Сообщение #2


(superbiz @ 14.2.2012, 23:23) *
кто сталкивался как лечить вордресс, около 25 сайтов на вордпресс схваватили эту гадость, определяют не все антивиры, каспер нашел при открытии, browser начал матерится дня три назад, яндекс smile.gif уже отметил у себя что сайты могут навредить компу, кто что слышал или пробовал?
Гуглил, ненашел smile.gif

Вирус этот похоже называется JS:Redirector-MR
Немного погуглив http://www.google.com.ua/search?q=JS%3ARed...;client=firefox
становится ясно, что проблема серьезная. Есть и у меня пару сайтов с этой проблемой. Пока лечатся только симптомы - удаление части кода в functions.php. Но он снова появляется либо через несколько часов, либо через пару дней максимум.
Реагирует на него Аваст и некоторый онлайн сервисы проверок на вирусы. Авира в упор не замечает. Менял пароли от админки и хостинга, менял хостинги, выкачивал полную копию и сканировал антивирусами, сканировал домашний комп, менял браузер, поставил фаервол, переехал на другой хостинг. Не помогает.
Решил, что это уязвимости самого движка. Обновил до последней версии Вордпресс, хотя хостинг и не поддерживает такую версию пхп, поэтому есть глюки в админке, обновил все плагины. Теперь вот жду когда снова появится.
Как вариант защиты - запретить изменять файл functions.php, но как это сделать в С-панели или через ФТП не знаю. Можно еще настроить автоматическую перезапись этого файла заведомо чистым через Cron, но опять же не в курсе как настроить.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
serg5777
serg5777
сообщение 15.2.2012, 13:08; Ответить: serg5777
Сообщение #3


А какие сейчас стоят права на functions.php?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
jack
jack
сообщение 15.2.2012, 13:32; Ответить: jack
Сообщение #4


На официальном источнике есть о нём упоминания, но на буржуйском.
Хотя да, ничего нового там нету.

Сообщение отредактировал jack - 15.2.2012, 13:35
Причина редактирования: upd


--------------------
Stimul-Cash и RX-Partners - лидеры фарма бизнеса!
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Globusnic
Globusnic
сообщение 15.2.2012, 14:07; Ответить: Globusnic
Сообщение #5


(serg5777 @ 15.2.2012, 12:08) *
А какие сейчас стоят права на functions.php?


На файл - 644, на папку с темой - 755
Стандартные права

Вот такой фрагмент кода добавляется в файл


Если вы нашли его у себя, поздравляю, присоединяйтесь.


Сообщение отредактировал Globusnic - 15.2.2012, 14:11
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
santis
santis
сообщение 15.2.2012, 14:26; Ответить: santis
Сообщение #6


Был у меня этот вирус, удалил index.php удалил function.php поставил заново, вируса нету. smile.gif)


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Globusnic
Globusnic
сообщение 15.2.2012, 14:38; Ответить: Globusnic
Сообщение #7


(santis @ 15.2.2012, 13:26) *
Был у меня этот вирус, удалил index.php удалил function.php поставил заново, вируса нету. smile.gif )


Как давно это было?
index.php из какой именно папки был удален, поскольку он там практически во всех папках?
Какой используете ФТП клиент, поскольку я юзаю Core FTP Lite version 2.1, build 1593, возможно в нем проблемы?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
superbiz
superbiz
Topic Starter сообщение 15.2.2012, 16:08; Ответить: superbiz
Сообщение #8


(Globusnic @ 15.2.2012, 11:00) *
похоже называется JS:Redirector-MR

да нет у меня не МР а УЕ ( Trojan.JS.Redirector.ue ) как написано в шапке, проблему так и не решил, то появится то пропадет, стал грешить на адсенс


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Globusnic
Globusnic
сообщение 15.2.2012, 20:41; Ответить: Globusnic
Сообщение #9


Сомневаюсь, что это эдсенс. У меня на некоторых инфицированных сайтах эдсенса никогда не было.
Поставил новую версию вордпресс, все равно пару часов назад снова код возник.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Rxp
Rxp
сообщение 15.2.2012, 21:14; Ответить: Rxp
Сообщение #10


У кого вирус стучите в асю (в профиле) поможем избавиться!

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0


 



RSS Текстовая версия Сейчас: 28.3.2024, 18:09
Дизайн