W2B » Публикации, обзоры, аудиты » Как удалить вирус Troj/JSRedir-MH с сайта

Как удалить вирус Troj/JSRedir-MH с сайта

Как удалить вирус Troj/JSRedir-MH с сайтаВирус Troj/JSRedir-MH является трояном модификацией JSRedir-MH и последователем линейки JSRedir которая уже своим названием говорит о том что зараженный сайт имеет в кодах JS редирект ну а редирект идет уже на вирусный сайт который непосредственно содержит вирусы заражающие пользователей.

Не будем втягиваться в теорию, поговорим о решении, по состоянию на 20 октября 2013 года нашими сотрудниками рассматривались случаи заражения этим вирусом ряда ряда сайтов на движках WordPress, DLE, Joomla, Drupal, ModX заражение других популярных движков вне зависимости от версии и использованых в них плагинов поскольку все заражения сайтов проводились по причине утечки доступа к FTP.

Если Яндекс заявил что у Вас на сайте вирус JSRedir-MH и Вы не видите его ни в одном из антивирусов то это не значит как первым делом кажется большинству "счастливых обладателей" этого вируса на своих сайтах что это ошибка антивирусной базы компании sophos или же Яндекса (который её использует), поверьте он действительно у Вас есть, просто очень хорошо спрятан.

 

Порядок удаления вируса JSRedir-MH с сайта:

1. Итак первым делом затыкаем дыры.

Если вирус замечен на сайте, то его туда закачали, либо через FTP (логин и пароль крадется трояном с Вашего ПК либо другого ПК с которого проводился доступ к сату) либо же доступ проведен через дырки в безопастности в системе сайта (сложно и решение не простое, для каждой системы своё общее - обновить движок и все модули до актуальных версий).

1.1. Что бы почистить компьютер от трояна который слил доступы FTP - первым делом поставьте на пк антивирус сопоса - Sophos Virus Removal Tool - http://www.sophos.com/en-us/products/free-tools/virus-removal-tool.aspx и просканируйте им весь ПК.

1.2. Меняйте FTP пароль что бы после удаления робот опять не поставил его на сайт если он защел через FTP а не дыры в системе.

 

2. Находим сам вирус на сайте.

По замеченым особенностям вирус коварен Troj/JSRedir-MH он использует стандартный файл Вашего двика или темы прописывает в ней ссылку на файл js где закодирован код проводящий не просто редирект а отображение пользователю как правило не всем а ограниченной группе (по ОС, браузеру, типу устройства...) файл .swf который уже в свою очередь редиректит на сайт который проводит заражение посетителя.

2.1. Ищите в теме файл .swf скорее всего он будет небольшим (по дате и названию не отталкиваемся так как их зачастую маскируют под обычный похожий под природный для сайта элемент). Удаляете его.

2.2. Ищите в файлах движка новый файл который будет с разрещением .js и ранее небыл на сайте (если нет бекапов - дольше, прийдется сравнивать с исходными файлами движка разработчика). Удаляете его.

2.3. В стандартных файлах движка или темы (в зависимости от движка) ищите где вставлялся тот что нашли в 2.2. Вырезаете вставку.

 

3. Завершаем проблему и возвращаемся в серп чистыми.

Идем в панель Яндекс Вебмастера и подаем на пересмотр, как показывает практика проверка проходит порядка суток (от 2 до 72 часов) после чего если п. 1 был правильно выполнен то sopos не найдет уже вируса и Яндекс уберет предупреждение.

 

Удачи Вам в удалении коварного JSRedir-MH с Вашего сайта!

Не забывайте хранить сайты чистыми и безопастными, если возникнут сложности в решении проблемы всегда можете обратится к нашим специалистам за помощью по его удалению в skype: w2b.kz стоимость зависит от движка и источника заражения, как правило обходится в 25$, очистка проводится на протяжении суток.