Как удалить вирус Troj/JSRedir-MH с сайта?

01.11.2013 Распечатать

Итак мы продолжаем разбирать случаи заражения сайтов вирусами и собственно удалять вирусы с сайтов.

Что было в предыдущих статьях:

Как удалить вирус JS:Redirector-MR [Trj] с сайта WordPress?

Как удалить вирус редирект с сайта для мобильного устройства

Как убрать вирус: Сайт может угрожать безопасности вашего компьютера или мобильного устройства?

 

Сегодня же мы поговорим о вирусе Troj/JSRedir-MH. Процесс обнаружения и удаления будет рассмотрен на примере сайта интернет-магазина, работающего на CMS OpenCart

Обнаружение

Обнаружить данный вирус нам помог Яндекс.Вебмастер. Он прислал на почту гневное письмо со следующим текстом:

Вредоносный код:

содержит Troj/JSRedir-MH (по данным компании Sophos)

 

Поиск вируса на сайте

На момент обнаружения вируса на сайте, в интернете не было никакой информации, по вирусу Troj/JSRedir-MH  касаемо движков Open Cart, поэтому пришлось искать вирус вручную.

Было понятно, что при заходе на сайт выполнялся некий javascript, который выдавал сообщение windows о необходимости обновить некий модуль операционной системы.

Поэтому поиск вируса начинаем с загружаемых ява-скриптов на сайте, которые смотрим через Chrome. Подозрение сразу вызвал файл themeglobal.js с некой вставкой:

На 27-й строчке вы можете видеть вредоносную вставку, которая ссылается на prototype.js

Начинаем действовать.

Удаление вируса с сайта

1) Заходим на ftp и находим данный файл prototype.js

В нем мы обнаруживаем зараженный .swf  с названием nikon_d300_1.swf.

2) Удаляем файл prototype.js

3) Находим и удаляем nikon_d300_1.swf

4) Далее заходим в исходный файл themeglobal.js и удаляем из него 27-ю строчку

5) После всего этого можно отправлять сайт на повторную проверку в Яндекс.Вебмастер, а также на прочие онлайн-проверки на вирусы:

6) Как вы видите вирус удален. Яндекс обновит информацию во время ближайшего захода робота. Почему вирус был на сайте? Есть несколько вариантов его появления:

  • шаблон сайта был изначально заражен,
  • у вас старая версия движка или если даже не старая, то уязвимая
  • у вас украли доступы к хостингу

7) Рекомендации после удаления вируса:

  • Просканируйте сайт на наличие вредоносного кода
  • Обновите движок OpenCart
  • Установите плагины для защиты от вирусов
  • Смените пароль от FTP и MYSQL
  • Просканируйте свой компьютер на вирусы

Успехов!

0

Интернет Компьютеры , , , , ,

Еще по теме