Вредоносный редирект. Вирус троян JS:Redirector-MC (мобильный редирект) на блоге WordPress

Новая форма вируса которые видят, что не знаю, очень сильно влияет на сайты, размещенные на ненадежным серверам , где пользователи счета / субсчета могут "видеть" друг друга. В частности, хостинг-аккаунтов сделаны все в папку "виртуальные хосты "Написание и право папки пользователя "виртуальных доменов" дано общее пользователя... реселлера в большинстве ситуаций. Это метод, который не использует типичный веб-серверов WHM / CPanel .

Действие.htaccess - .htaccess Hack

Вирус влияет файлов .htaccess жертвы сайта. Линии добавлены / Директивы к перенаправлять посетителей (Исходя из Yahoo, MSN, Google, facebook, yaindex, Twitter, MySpace, и т.д. сайтов и порталов с высокой посещаемостью) к некоторым сайтам, которые предлагают "антивирус . «Это фальшивый антивирус , О котором я писал в предисловии к .

Вот что это выглядит как .htaccess пострадавших: (Не получить доступ к линиям содержание ссылок ниже )

ErrorDocument 500 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=0
ErrorDocument 502 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=2
ErrorDocument 403 hxxp://wwww.peoriavascularsurgery.com/main.php?i=J8iiidsar/qmiRj7V8NOyJoXpA==&e=3

RewriteEngine On

RewriteCond% {HTTP_REFERER}. * Яндекс. * $
RewriteCond% {HTTP_REFERER}. * Одноклассники. * $
RewriteCond% {HTTP_REFERER}. * Вконтакте. * $
RewriteCond% {HTTP_REFERER}. * Rambler. * $
RewriteCond% {HTTP_REFERER}. * Tube. * $
RewriteCond% {HTTP_REFERER}. * Wikipedia. * $
RewriteCond% {HTTP_REFERER}. * Blogger. * $
RewriteCond% {HTTP_REFERER}. * Baidu. * $
RewriteCond% {HTTP_REFERER}. * Qq.com. * $
RewriteCond% {HTTP_REFERER}. * Myspace. * $
RewriteCond% {HTTP_REFERER}. * Twitter. * $
RewriteCond% {HTTP_REFERER}. * Facebook. * $
RewriteCond% {HTTP_REFERER}. * Google. * $
RewriteCond% {HTTP_REFERER}. * Live. * $
RewriteCond% {HTTP_REFERER}. * AOL. * $
RewriteCond% {HTTP_REFERER}. * Bing. * $
RewriteCond% {HTTP_REFERER}. * Amazon. * $
RewriteCond% {HTTP_REFERER}. * Ebay. * $
RewriteCond% {HTTP_REFERER}. * LinkedIn. * $
RewriteCond% {HTTP_REFERER}. * Flickr. * $
RewriteCond% {HTTP_REFERER}. * LiveJasmin. * $
RewriteCond% {HTTP_REFERER}. * Сосо. * $
RewriteCond% {HTTP_REFERER}. * DoubleClick. * $
RewriteCond% {HTTP_REFERER}. * Pornhub. * $
RewriteCond% {HTTP_REFERER}. * Orkut. * $
RewriteCond% {HTTP_REFERER}. * Живой журнал. * $
RewriteCond% {HTTP_REFERER}. * Wordpress. * $
RewriteCond% {HTTP_REFERER}. * Yahoo. * $
RewriteCond% {HTTP_REFERER}. * Ask. * $
RewriteCond% {HTTP_REFERER}. * Excite. * $
RewriteCond% {HTTP_REFERER}. * Altavista. * $
RewriteCond% {HTTP_REFERER}. * MSN. * $
RewriteCond% {HTTP_REFERER}. * Netscape. * $
RewriteCond% {HTTP_REFERER}. * Hotbot. * $
RewriteCond% {HTTP_REFERER}. * Goto. * $
RewriteCond% {HTTP_REFERER}. * Infoseek. * $
RewriteCond% {HTTP_REFERER}. * Мама. * $
RewriteCond% {HTTP_REFERER}. * Alltheweb. * $
RewriteCond% {HTTP_REFERER}. * Lycos. * $
RewriteCond% {HTTP_REFERER}. * Поиск. * $
RewriteCond% {HTTP_REFERER}. * MetaCrawler. * $
RewriteCond% {HTTP_REFERER}. * Mail. * $
RewriteCond% {HTTP_REFERER}. * Dogpile. * $

RewriteRule. *

RewriteCond% {} REQUEST_FILENAME!-Е
RewriteCond% {} REQUEST_FILENAME!-D
RewriteCond% {} * REQUEST_FILENAME Jpg $ |!. *. Gif $ | *. Png $
RewriteCond% {HTTP_USER_AGENT}. * Windows *.
RewriteRule. *

Те, кто использует WordPress будет найти эти строки в файле .htaccess от public_html . Кроме того, вирус создает. Htaccess файл в той же папке WP-содержание .

*Есть также ситуации, в которых вместо появляется peoriavascularsurgery.com dns.thesoulfoodcafe.com или другим адресам.

Что делает этот вирус.

После перенаправлены, посетители встречают с распростертыми объятиями сообщение:

Внимание!
Компьютер содержит различные признаки присутствия вирусов и вредоносных программ. Ваша система защиты от вирусов требует немедленной проверки!
Система безопасности будет выполнять быстрое и бесплатное сканирование компьютера на наличие вирусов и вредоносных программ.

Независимо от того, какая кнопка нажата, мы взяты на страницу "Мой компьютер "Создан, чтобы имитировать XP дизайна . Это автоматически начинается "сканирование" в конце которого мы находим, что «заразился».

После нажатия кнопки ОК или Отмена, он начнет скачать Файлов setup.exe . Это setup.exe является поддельной антивирусной влияющие на систему. Установка некоторых вредоносного ПО распространяться дальше ссылки скомпрометированы, и к тому же эти антивирусное программное обеспечение (все ложные), что жертву предлагается купить.
Те, кто уже связался с вирусом могут использовать эту форму . Кроме того, рекомендуется сканировать весь жесткий диск. Рекомендовать Kaspersky Internet Security или Kaspersky Anti-Вирус .

Этот тип вируса поражает посетителя системы OS операционная Windows XP, Windows ME, Windows 2000, Windows NT, Windows 98 и окна 95. На сегодняшний день нет известных случаев заражения операционных систем Windows Vista и Windows, 7.

Как мы можем устранить этот вирус. Htaccess файл на сервер и как предотвратить инфекцию.

1. Анализ подозрительных файлов и стирание кодов. Чтобы убедиться, что файл не коснулось только .htaccess Вы должны проанализировать все файлы .php si . Js .

2. Перепишите файл. Htaccess и установите CHMOD 644 или 744 с доступом на запись только владельцем пользователя .

3. При создании учетной записи хостинга для веб-сайта в папку / Главная или / Webroot Это позволит автоматически создавать папки, которая часто имеет имя пользователя (пользователю для Cpanel, FTP И т.д.). Для предотвращения записи данных и передача вируса от одного пользователя к другому, рекомендуется, чтобы каждый пользователь папке должен быть установлен:

CHMOD 644 или 744, 755 - показана 644.
Чаун-R nume_user nume_folder.
CHGRP-R nume_user nume_folder

LS-все способы проверки, если они были сделаны правильно. Должно появиться что-то вроде этого:

Динамика динамического динамика drwx-x-x 12 4096 Май 6 14: динамика 51 /
drwx-x-x 10 duran duran 4096 Мар 7 07: 46 duran /
drwx-x-x 12 Tube Test Tube 4096 Jan 29 11: 23 Tube /
drwxr-xr-x 14 Express 4096 Feb 26 2009 express /
drwxr-xr-x 9 ezo ezo 4096 May 19 01: 09 ezo /
drwx-x-x 9 farm 4096 farm 19 22: 29 farm /

Если одно из выше userele FTP Зараженные файлы Она не может отправить вирус другим пользователем хоста. Минимальная мера безопасности для защиты счетов размещенных на веб-сервере.

Общие элементы районах, пострадавших от этого вируса.

Все районы, пострадавшие перенаправлять посетителей на сайты по доменному имени, содержащие "/main.php? е = 4 & ч ".

Этот "вирус. Htaccess "Affect любой CMS (Joomla, WordPress, PHPBB И т.д.) с использованием .htaccess .

. Htaccess Перенаправление Вирус Hack & .

Всем привет. Это небольшая статья будет посвящена защите вашего блога WordPress от вирусов и троянов таких как Мобильный редирект , он же JS:Redirector-MC . Его можно обнаружить с помощью антивируса AVAST и браузера OPERA, другие антивирусы пока его не видят, повторюсь пока не видят.

Если Вы заметили данный вирус на своем блоге, без паники здесь ничего страшного нет, сейчас я научу Вас как бороться с этим недугом. При заходе на сайт под браузером Opera вы увидели окошко «троян блокирован», заражение «JS:Redirector-MC » это и есть наш мобильный редирект.

Бороться с ним будем следующим образом.

Открываете файл functions.php и в самом внизу вы можете обнаружить следующий код:

Наша задача удалить этот код.

Сделать это можно несколькими способами:

1. Удалить код вручную.
2. Найти копию файла functions.php и перезалить на хостинге

После того как вы удалите этот код, проверяем наш блог на специальных онлайн сервисах, нет ли еще зараз на блоге.

У Вас наверно возникают вопросы откуда взялся данный вирус. Я покопался по интернету и нашел ответ, который не очень меня обрадовал скидываю, как скрин.

Из — прочитанного можно сделать вывод что ни наш WordPress не сервис не защищен на 100% .

Я поймал этот вирус на 2-х блогах, советую проверить свои блоги на наличии вирусов, особенно те которые находятся на хостинге Timeweb.

Если вовремя не обнаружить вирус, Ваш блог может быстро упасть в позициях, будет большой процент отказов, вообщем ничего хорошего Вас не ожидает.

После удаления вируса, советую:

1. ОбновитьWordPress
2. Изменить пароль к Ftp
3. Изменить пароль на хостинге
4. Сделать полный скан компьютера на наличие вирусов

Если ваш блог взломал, об этом я уже писал . Самое главное вовремя заметить и обезвредить. Если что не получается или не понятно, обращайтесь помогу.

В прошлый понедельник закончилась моя полугодовая эпопея борьбы с вредоносным мобильным редиректом, обнаруженным Яндексом на двух моих проектах.
(Вот моя история в двух частях…)

Картинка отсюда: http://rebill.me/showthread.php?t=1804
там еще много других картинок и слов о вредоносном мобильном редиректе.

В одно далеко не прекрасное утро я получила вот такое письмо от Яндекс.Вебмастер :

Здравствуйте, ***!

На страницах вашего сайта **** обнаружен код, который может быть опасен для посетителей. Выполнение этого кода при посещении сайта может привести к нежелательным для пользователя последствиям: заражению компьютера вредоносными программами, несанкционированному использованию его ресурсов, порче или краже личных данных.
В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».
Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев.
Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.

—
С уважением,
Яндекс.Вебмастер
http://webmaster.yandex.ru

Я не сразу смогла поверить, что на моем проекте существует вредоносный код, гораздо легче было считать, что это Яндекс со своим поведенческим (бихевиористским) алгоритмом ошибся и возвел напраслину на мой набирающий популярность проект… Почитав внимательнее информацию на вкладке “Безопасность”, посмотрев какие комментарии выдает Яндекс при моей попытке перейти с результатов поиска на мой зараженный сайт я поняла, что речь идет о вредоносном мобильном редиректе .

Стала экспериментировать на мобильных устройствах: с поисковой системы Google зашла на главную страницу своего сайт, перешла на страницу с контентом и … была перенаправлена на какой-то невнятный сайт с адресом типа aloobe.com с единственной кнопкой “НЕОБХОДИМО СРОЧНО ОБНОВИТЬ Adobe Player” – это стало доказательством, что Яндекс был прав, а неправа была я…

Бог знает, чего мне стоила борьба с этим вредоносным мобильным редиректом, борьба за чистоту своих проектов… Перечитаны горы литературы, удалены виджеты и плагины, сменены темы, в порыве отчаяния я даже поменяла хостера, проверенного годами, поиски вредоносного редиректа велись как внутри Базы Данных, так и в фолдерах обслуживающих проекты.

В конечном итоге все оказалось до смешного просто, но об этом я расскажу вам в следующем материале, а сегодня я расскажу вам о плагине, который закрыл собою брешь. Я отправила сайт на перепроверку, Яндек перестал помечать мой сайт как зараженный, вернулись читатели и больше этой проблемы на моих проектах не было! Вернее, проблема оставалась (потому что поиски её решения у меня заняли полгода), но она была изолирована от моих читателей и уже никто из посетителей моих сайтов не мог попасть в лапы к жуликам.

Плагин называется Verve Mobile . На этом я собиралась дать ссылку на плагин и завершить пост, но от этого плагина на wordpress.org осталось одно обсуждение:
http://wordpress.org/support/plugin/verve-mobile-plugin .

Чтобы достойно закончить эту статью, я сохранила этот популярный плагин . Вы можете скачать его . Конечно, я не смогу обеспечить его поддержку, но у меня на проектах он работает без проблем, распознавая мобильные устройства и отдавая им контент сайта в специальном шаблоне “для просмотра с мобильных устройств”.

Единственный обнаруженный мной недостаток плагина, при активированном плагине я не могла . Этот недостаток я обошла дективируя Verve Mobile на несколько минут, которые нужны для авторизации с применением OpenId.

PS Прежде чем устанавливать плагин убедитесь, что .htaccess файл расположенный в корневой директории вашего сайта содержит помимо записе WordPress’а:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

только то что вы туда по каким-то причинам вписали самостоятельно и ничего лишнего и необъяснимого.

Если вы нашли в файле.htaccess какие-то сомнительные перенаправления, уберите из него все лишнее – это скорее всего станет решением проблемы вредоносного мобильного ридеректа. Будьте внимательны и прокрутите файл.htaccess до конца, иногда злоумышленники добавляют туда ОЧЕНЬ МНОГО пустых строк, чтобы их код переадресации не был виден на первой странице.

Продолжение следует…