Внимание! Массовое заражение WordPress блогов
Здравствуйте дорогие друзья.
Спешу сообщить вам очень важные новости, в январе этого года началось массовое заражение WordPress блогов вирусом JS:Redirector-MR [Trj].
Как вы поняли из названия вируса: он осуществляет перенаправления пользователей вашего блога на другие сайты.
Причём на него реагирует, только один антивирус – Avast. Но это пока, что!
Итак, пока поисковые системы, а так же более крупные антивирусы, например Kaspersky, не обновили свои базы и наши сайты не начали терять драгоценных пользователей, пора принимать меры!
Для того чтобы проверить есть ли эта пакость на вашем сайте нам нужно будет сделать следующее:
Переходим в файл функций вашей темы functions.php, и в самом низу вас ожидает вот такой вот сюрприз:
![JS:Redirector-MR [Trj]](wp-content/uploads/2012/01/virus.jpg "JS:Redirector-MR [Trj]")
Если этого кода нет, то радуйтесь, а если есть, то поздравляю — ваш сайт заражён!
Но вернёмся к коду:
Это тот самый JS:Redirector-MR [Trj], удаляем этот код и всё – ваш блог исцелён.
Теперь идём сюда:
Вводим адрес вашего блога, ждём 10 минут, и смотрим, нет ли в вашем детище ещё какой либо пакости.
Ну вот и всё, пост короткий так как написан в попыхах. Но главную мысль я до вас донёс, теперь внимание:
Если вы обнаружили на своём сайте такой вирус, то обязательно поведайте вашим читателям об этой заразе.
Всегда ваш Мудрый Кот.
Подписаться вы можете с помощью
или 
, но самый удобный способ это:
Ещё по теме:
3 лучших торрент трекера — где разместить свои файлы и где скачать чужие?
Итоги 2011 года и планы на год грядущий
Польза и вред форумов. А стоит ли на них штаны просиживать?
Кто управляет русским Интернетом?
Накупил барахла на Ozon.ru (фотоотчёт)
Опубликовано: 10 января 2012, в рубрику Мои заметки.
Теги: вирус JS:Redirector-MR [Trj].
Поделись статьёй с друзьями:
I место - Сквозняк!
II место - Заметка!
III место - 200 Рублей!
Подробнее о конкурсе тут.
Как создать сайт с онлайн фильмами
Создание
Раскрутка
Монетизация
Как создать шаблон и дизайн для сайта
Макет
Разметка
Вёрстка
- Лучшее
- Советую
- Новое
Как создать сайт с онлайн фильмами, раскрутить его и заработать на нём (часть 1)
Выделите ошибку и нажмите Ctrl + Enter, ставим систему «Анти-ошибка» на свой сайт
Как создать фон для своего блога? Не знаешь? Тогда читай!
Как создать сайт с онлайн фильмами, раскрутить его и заработать на нём (часть 2)
Как создать шаблон и дизайн для сайта (часть 1)
Как увеличить количество кликов по рекламе?
Как заработать на посещаемости сайта?
Как создать сайт с онлайн фильмами, раскрутить его и заработать на нём (часть 3)
Сразу два конкурса для блоггеров! Участвуй и выигрывай!
Какие права на файлы и папки нужно поставить, чтобы не было беды (WordPress)
Оригинальные первые посты, которые появились на известных SEO блогах
Внимание! Массовое заражение WordPress блогов
3 лучших торрент трекера — где разместить свои файлы и где скачать чужие?
Блокнот убивает WordPress
Конкурс комментаторов с очень неплохими призами!
Как добавить новые кнопки в WordPress
FileZilla vs Total Commander — что лучше?
Итоги 2011 года и планы на год грядущий
- Комментаторы
- Комментарии
NMitra (53)
kladez-zolota (23)
alextm594 (21)
Александра (17)
Антон Пара... (9)
Записки ночного блогера
Blogger.omg-linux
Эх, пользуйтесь менее популярными CMS, и да прибудет с вами безопасность.
[Ответить]
никто не застрахован
[Ответить]
Алсо, хороший хост — залог успеха. Тут делал это и-магазан, (читатели в курсе), на хостинге клиент даже cpanel нет, что напрягает…
[Ответить]
подсознание кричит: опасность детектед ><
после этого поста боюсь нажимать на ссылку
Antivirus-alarm.ru
[Ответить]
А где дырка? Вообще не ставьте на всю папку прессворда
права 777, а то ведь находятся кадры, которые разрешают всему рунету писАть в свои скрипты. Курить надо маны по распредлению прав, и там, где только возможно, оставлять права только на чтение.
Но это поверхностный, так сказать, взгляд админа.
И как насчёт апдейтов, закрывающих дыру?
ps: что-то глючит отправка комментария
[Ответить]
Скорее всего, вирь через хостинги запустили, но всё равно ждём обновлений cms.
Насчёт прав спасибо, пойду сейчас почитаю что там да как, а насчёт комментариев не знаю у меня всё вроде в порядке
[Ответить]
У меня вчера такие же глюки были на хостинге. Это у немцев что-то подлагивало)
[Ответить]
как он вообще может попасть на сайт?
[Ответить]
способов куча, начиная с дырявой cms и заканчивая косяками со стороны хостинга
[Ответить]
Спасибо, полезно =) Я чист =)
[Ответить]
Фигасе новости… Этого вируса слава Богу не обнаружил, ща тестю бложик Авастом
[Ответить]
Хух
Меня бог миловал 
Возможно потому, что в этом году еще постов небыло. Спасибо за предупреждение — буду во всеоружии 
Вопрос не по теме — смайлики Ваши или можно где в сети разжится, очень они под кошачьи блоги подходят
[Ответить]
[Ответить]
Мой антивирус орал, как резанный, когда пыталась зайти к тебе.
[Ответить]
Пошла обследовать свои блоги. Спасибо!
[Ответить]
Странно, вторая запись, что антивирус разрывается. А вот мои молчит. Проверила на ноуте-тоже тишина.
[Ответить]
Сегодня нормально, а вот два дня зада так и было.
[Ответить]
была у меня такая хня на бесплатном хостинге мегабиет.нет. Ушёл я оттуда. Конечно эта зараза через хостинг попадает.
[Ответить]
Интересно, а как это сделать через хостинг?
Предположим, где-то выцепили доступ, хотя тут нужен root, а он, как правило, защищён. Получив рута стали заниматься такой ерундой, когда можно наделать дел намного масштабнее (массовая рассылка, дорвеи, промежуточный хост для атак и т.д.).
Остаётся дыра в движке. Где-то можно заинклудить js. Кстати у меня тут напрочь сайт упал на wp, чувствую там что-то серьёзное.
[Ответить]
Вот, не знаю где взял, но забей в поиск может найдёшь оригинал:
1. Хакеры взламывают один из сайтов на сервере (чаще воруют пароли FTP) и загружают туда backdoor скрипт – PHP файл, который выполняет зашифрованный команды присланные в параметрах POST-запроса.
2. Дальше этот скрипт запускает бинарный файл, который (скорее всего) перехватывает сетевое соединение запустившего его процесса апача, и в дальнейшем притворяется обычным апачем и обрабатывает входящие запросы (на все сайты), возвращая вредоносный ответ. Так как этот процесс “замещает” лишь один из дочерних процессов апача, то вредоносные ответы возвращаются лишь на часть запросов. К тому же через какое-то время этот процесс отмирает и вредоносные ответы пропадают до следующей активации скрипта.
Чтоб найти backdoor скрипт, нужно
1. просканировать весь сервер (все клиентские директории) на предмет PHP кода, который использует конструкцию eval(base64_decode(.. (правда в последнее время её стали шифровать)
2. Проверить логи апача (для всех сайтов) на предмет подозрительных POST запросов. Проверьте файлы, к которым идут эти запросы.
[Ответить]
Так это что за хостинг, где можно управлять апачем?))
Не представляю, что бы с фтп из под юзера можно было запустить демона.
Это наверное вин-сервак, тогда понятно.
В общем, не перевелись на Руси криворукие админы.
Я вот 2.5 дня бана схватил просто за включенный дебаг в движке.
С таким хостером думаю 3 раза, прежде чем что-то сделать.
[Ответить]
У меня в инет-магазине тоже заражение началось с возникновения в индексном файле такой-вот бяки:
(Мудрый Кот удалил код ибо не нужны нам коды вирей в комментах =Р)
Я не программист, но, видать это та же хрень!
[Ответить]
Я тоже не могла зайти. Да, ругался Аваст. Я предполагала, что взломать можно только панель админа, или самому занести какую-нибудь дрянь через сторонние скрипты. А тут…
Мне такие проблемы не светят — Blogger защищает Гугл, а домен припаркован на бесплатном хостинге Яндекса. Эти «монстры» должны защитить.
[Ответить]
Должны
[Ответить]
Ага, так защищают, что у некоторых областей доступ отрубили к блогспот.ком без всяких разговоров, а так всё в порядке
.
[Ответить]
Подробнее
На ум только robots.txt приходит
[Ответить]
Ну вы же сами слышали, как толпа расвирепевших юзеров везде писала,
что не могут попасть на свой блог. Через два дня их пустили.
А ещё с форума помню несчастных казахов и армян, кторым тоже нельзя.
[Ответить]
Это прошло мимо меня. Были проблемы с входом в редактор шаблонов HTML, но больше вроде читатели ни на что не жаловались. Я на форумах не частый гость. Может технические ошибки какие, но в большинстве случаев пользователи сами меняют код, но не совсем корректно.
А почему казахам и армянам нельзя-то? Есть официальная инфо?
[Ответить]
Про Казахстан было написано, что им официально ограничивали доступ.
А про армян знаю только от пользователей.
Да, ещё была информация, но не подтверждённая, что гугл ограничил в доступе ряд подсетей, якобы из-за дос-атак.
[Ответить]
Насколько я понимаю, здесь нет инициативы Гугла. Блокировку осуществляет их провайдер — . Похожай история была с Китаем в своё время.
[Ответить]
Хе-хе, да моего провайдера гугл начисто банил.
Мне даже поиск не был доступен, о чём я плакался в блоге несколько раз: ввод капчи и бан
Сколько я не общался с другими админами, все в один голос утверждали, что никогда не перекрывали доступ к сервисам гугла, это невозможно, народ порвёт, как грелку.. за такие вещи.
[Ответить]
Была похожая ситуация, но скрипт немного другой, узнал только когда пришло письмо от яндекса что типа на вашем сайте имеются вредоносный код удалите его.
[Ответить]
спасибо
проверился — все гуд! не подскажешь откуда известно стало о вирусе?
[Ответить]
тут очень долгий путь о том как я узнал, поэтому писат смысла нет но если коротко:
из блогосферы
[Ответить]
[Ответить]
Я тоже это замечал,думал глюк.
[Ответить]
Ничего этот сервис не проверил, денег просит. Ага, сейчас, разбежался
[Ответить]
Странно у меня не просит)
[Ответить]
колёсико крутится уже третий день и ничего не показывает, я взял и зарегился (подумал может нужно), а там уже просят пополнить счёт. 100р в месяц за мониторинг сайта.
[Ответить]
Надеюсь эта зараза ко мне не попадет)
[Ответить]
[Ответить]
Фух, мой сайт чист, ничего подобного не нашел)
[Ответить]