Однажды утром, я сидел и верстал очередной сайт, как вдруг… мне приходит письмо от заказчика предыдущего, в котором он говорит, что на сайте вирус HEUR:Trojan.Script.Generic и каспер его не пускает.
Я в шоке начал гуглить, что за вирус. Оказалось, что это троян-даунлоадер, то есть сама по себе софтина безвредная, но загружает посетителю сайта вирусню.
Сайт был полностью слит и проверен антивирусом, результат — ни-че-го. Как оказалось, пока сайт не запущен через браузер, никаких вирусов нет. Это происходит из-за того, что весь вирус это проста строчка в коде.
После поиска по всем файлам сайта, а это около 3000 файлов с учетом CMS и встроенного phpMyAdmin заражены, оказались около 150 файлов. Вирус атакует в основном файлы с именем index.* или с расширением .js и дописывается свой код в конец файла.
Для лечения я использовал notepad++.
Если вы тоже столкнулись с этим вирусом на своем сайте, то вам может, пригодится моя инструкция по лечению.
Пошаговая инструкция:
- весь сайт был скачан ко мне на компьютер
- в папке с сайтом был произведен поиск в файлах строки «IBM_Compatible.js»
- все файлы из результатов поиска открыты в notepad++ простым нажатием ctrl+A в результатах поиска, и перетаскиванием выделенных файлов в открытое окно notepad++
- в notepad++ нажимаем ctrl+H, копируем строку подключения вируса, а поле заменить оставляем пустым
- нажимаем волшебную кнопку «заменить во всех открытых документах» и вирус с позором изгнан из всех файлов
- сохраняем изменения во всех файлах
- заливаем их обратно на сервер, принудительно перезаписывая имеющиеся
- повторно проходимся по главной странице и индексным в подразделах, админке и phpMyAdmin при их наличии
- при обнаружении остатков вируса, чистим их, вручную удаляя строки из файлов
- радуемся, что так легко победили зловреда
- Проверяем антивирусом все компы с которых подключались по фтп к сайту
- меняем пароли доступа к фтп
Разумеется, это все можно было бы упросить, например, сделав все эти действия скриптом или используя grep на сервере, но в данном случае, главной целью был результат.
На этом все, надеюсь, материал оказался полезным для вас.
А если вы не хотите заморачиваться самостоятельной чисткой, то вы можете заказать ее воспользовавшись формой ниже.
полезная инфа. сам сегодня нашёл такое у себя.
Спасибо огромное вам, здорово помогли, а то я было начал панику )))
Прошу прощения, а можно поподробнее для особо одоренных, я не понимаю что такое notepad++ , «IBM_Compatible.js». Блоги делать научилась совсем недавно а дальше все для меня как китайская грамота.
А вирус этот поймала — каспер сказал.
Буду благодарна за индивидуальную консультацию.
С уважением Людмила Плехова.
Людмила, notepad++ это текстовый редактор, типа блокнота в windows, но более функциональный. IBM_Compatible.js это имя скрипта который может подключать вирус на вашем сайте, и поиском по этой строчке вы сможете найти файлы где подключается вирус.
А можно побуквенно порядок действий, так как все равно каспер не открывает мой блог.
Я видно что-то не так сделала.
С уважением Людмила Плехова.
Людмила, а в чем конкретно сложность? Я и так постарался максимально подробно все расписать, на каком этапе у вас возникли сложности?
ЗЫ при необходимости могу помочь с решением данной проблемы на платной основе, если вас это интересует пишите на order@coder-diary.ru
notepad++ я установила , а как «в папке с сайтом был произведен поиск в файлах строки «IBM_Compatible.js»» это физически сделать?
Действительно очень нужная информация, но только для тех кто понимает как этим пользоваться. У меня вот тоже такая же проблема, однако этот текст для меня как для китайца — ничего не понимаю. Вернее понимаю, что сама я это не осилю, а помочь некому. А можно ли обойтись без этих манипуляций? И почему вообще такая штука происходит? У меня уже мозг кипит, неделю ковыряюсь, спасибо доброму человеку — к Вам вот направил…
Чтобы вести какую-то серьезную деятельность в интернете надо или учиться и разбираться в технических деталях или платить тем кто разбирается. Как и в жизни, если сломалась машина, кто умеет чинит сам, кто не умеет едет в автосервис))
> И почему вообще такая штука происходит?
Происходит это в большинстве случаев по следующим причинам:
1) не надежные пароли на доступ к сайту/FTP/хостингу
2) не надежные программы для доступа типа фтп-клиентов и браузеров и вирусы на компьютере
3) плохой хостинг (мелкие хостеры могут иметь плохо настроенные серверы, но это встречается довольно редко)
4) все остальные случаи типа целенаправленных взломов, равпространения вирусов через коду партнерок и баннерных сетей итп (это думаю меньше 1% случаев)
Ну ведь каждый специалист с чего-то начинал… 🙂
Я Вам на почту выслала письмо с просьбой…
Юмор этой ситуации в том, что интернет забит рекламой типа-Блог за один день, или легкий интернет бизнес, а в результате купить или заказать блог можно легко, но если ты не умеешь им пользоваться, не знаешь как это работает, то зависаешь надолго.
А теперь по теме: скачала, почистила касперским, закачала назад, а касперский кричит -вирусы.
Вся подобная реклама имеет одну цель — продать свой товар/курс и привлечь к себе трафик, подписчиков итп. Если кому-то ее станет от этого лучше, то ему повезло.
Научиться какой-то новой для себя деятельности за день-неделю-месяц почти не реально, можно поверхностно изучить какие-то основы, но достичь серьезных результатов скорее всего удастся.
> скачала, почистила касперским, закачала назад, а касперский кричит -вирусы.
все правильно, на сайте вирусов нет, поэтому касперу нечего удалять.
В коде сайта есть строчка при открытии страницы подключающая вирус типа <script scr="http;//evilsite.ru/virus.js " /> при загрузки страницы на нее по этой ссылке подгружается вирус на который и реагирует каспер.
Наконец-то этот кошмар закончился. Касперский написал, что блог чист и свободен.
С одной стороны я узнала очень много нового, накачала свои блоги разными антиспамовскими программами, очень боялась, что они будут мешать друг другу, так что пришлось перелопатить большой объем информации.
С другой стороны все на блогах тормознулось, упал трафик и все надо начинать сначала.
Зато есть опыт и я знаю теперь путь короче.
Хочу поблагодарить вас и многих других блоггеров за вашу работу, за ту информацию, которую вы размещаете на своих блогах, а так же пожелать в Новом Году успехов, достижений и наград.
доброго дня. Спасибо за пост, весьма в тему. Вопрос — как вы определили. что искать нужно именно по IBM_Compatible.js ? у меня этот поиск не дал никакого результата, как и скан антивирусом всего сайта. Вот только яндекс говорит что там вирус, и периодически разные антивирусы на разных компах воют при открытии сайта.
заранее спасибо!
Здравствуйте.
В моем случае в js файлах была дописана строчка подключающая этот файл, типа т.е. script src=’зловредный сайт/IBM_Compatible.js’. Соответственно найдя ее в нескольких файлах руками я запустил поиск по ней. В вашем случае файл вполне может называться по-другому или вообще быть шифрованным.
Здравствуйте, скажите чайнику -пользователю творческого сайта, такой сайт открывать не стоит? Или это все же не вирус, а просто паника Касперского…Пользовалась одним сайтом в течении года, а теперь не могу зайти внезапно появилось такое сообщение от каспера(((
Здравствуйте, Лена.
Это не ложное срабатывание, касперский сперва сам подгружает страницу и проверяет ее, а потом уже выносит решение о блокировке.
Возможно там «всего лишь» редирект на сайт с порно/предложением обновить антивирус или браузер/предложениями откосить от армии/гаи/чего-то еще.
Т.е. вполне возможно, вы перейдете на сайт, вам откроется новое окно с левым сайтом и вы спокойно сможете пользоваться сайтом, но есть вероятность, что сайт попытается незаметно загрузить к вам на компьютер вирус.
Попробуйте проверить сайт через https://www.virustotal.com/ru/#url там проверка примерно 50 антивирусами, может и реально глюк касперского.
Большое спасибо! Ваша информация действительно помогла.Успехов Вам во всех начинаниях!
Здравствуйте. Возникла такая же проблема. Скачал папку public_html на комп и касперский сразу удалил файл class-wp-filesystem-index.php по пути public_html\wp-admin\includes, можете подсказать что это за файл и можно ли его удалить или как то отредактировать? Спасибо за помощь.
Игорь, скорее всего этот файл и есть троян. Проверьте дату создания файла и файл .htaccess в корне, этот вирус может дописывать в него левый код.
Да и каспер написал что это троянец Backdoor.PHP.WebShell.fe
Да, дата этого файла у меня 14.09.12, а всех остальных файлов в этой папке 24.09.13, на целый год разница, это что то значит? И как раз проверил через онлайн сканер доктора веба, он говорит что мой сайт перенаправляет на сайт левый — мобилемастер какой то и как раз адрес этого мобилемастера я нашел в файле .htaccess. Я еще раньше замечал при заходе со смартфона на свой сайт, что если включена мобильная версия сайта то сразу перенаправляло на другой сайт где предлагали обновить браузер, я тогда не придал этому большого значения и каспер не ругался ни когда, а тут вот неделю назад стал блокировать мой сайт. Подскажите пожалуйста что мне делать с этими двумя файлами (class-wp-filesystem-index.php , .htaccess), их можно удалить или надо редактировать их?
В .htaccess надо по удалять лишние правила которые делают переадресацию, а в class-wp-filesystem-index.php надо смотреть, что там, может надо полностью удалить файл, а может почистить из него код вируса.
Ну и желательно обновить вордпресс и плагины и поменять пароли на ftp т.к. заражение скорее всего через дырявый клиент.
А после этого стоит провести полную проверку сайта т.к. могут быть еще зараженные файлы.
.htaccess вернул из старой копии (хорошо, на компе одна старая копия была), class-wp-filesystem-index.php удалил так его в старой копии ваще не было, у меня пароль от сайта в браузере был сохранен, может поэтому вирус залез, клиентами я не пользовался ни какими, только через сайт хостинга заходил всегда. Просканировал заново онлайн сканером доктор веба, говорит все чисто теперь, и на комп скачал public_html каспером проверил — все чисто. Но на сайт каспер по прежнему не пускает, так же говорит — троян. Что с этим можно сделать?
Тогда надо проверять js файлы, возможно где-то в них дописан левый код. Надо смотреть на какие файлы ругается каспер при заходе на сайт и проверять их.
Это уже проблема, их там куча и кода километры, еще и знать надо какой код левый может быть. А когда на сайт заходишь он не пишет какие файлы ему не нравятся. Просто пишет «Обнаружено: HEUR:Trojan.Script.Generic»
Ну тогда остается только ручной перебор. Самостоятельно или на аутсорсе.
Все таки разобрался я с этим вирусом, теперь каспер не ругается. Чисто случайно заметил, что когда новую тему активирую на сайте то он нормально открывается, а со старыми темами которые были не открывался, каспер не давал, вот я тогда и допер что в файлах темы вирус значит, по датам изменения файлов посмотрел и которые были позже остальных изменены сравнил с оригиналом и нашел в файле header.php несколько левых строк в которых был сайт левый прописан, на него и ругался каспер, удалил этот кусок и все ОК стало.
Блин, как хорошо, что вирусы пока еще в Линукс не пробрались! Пришло в письме, скачал, запустил — открылся архиватор. Распаковал (был приложен пароль). Смотрю, там *.js (даже так «Подробности заказа 2019-06-17.docx.js»). Какая-то хрень, документ-скрипт. Отправил на вирустотал — точно вирус!