Как лечить Trojan:JS/Redirector.IT в WordPress


Недавно обнаружил что при входе на мой блог, начал паниковать антивирус с объявлением:

Trojan:JS/Redirector.IT

AppData\Local\Google\Chrome\User Data\Default\Cache\f_0007d8->(SCRIPT0002)->[Eval]

Если быть точным то выводило такое:

Сообщение антивируса

Конечно сразу полез копать в сети у кого были такие проблемы. Попал на кучу сайтов в которых понял идею. Вредоносный скрипт прописался где-то в шаблоне WordPress.

Начал копать и нашел странный скрипт в конце файла functions.php

functions.php

Мне он показался подозрительным, т.к. даже не вооруженным глазом видно желание автора сей писанины остаться незамеченным. 🙂 Но, как говорится: «Не пойманный- не вор!». Я начал искать доказательства своей правоты на просторах необъятной Интернет-родины. Пути эти закинули меня на какой-то испанский форум на странице которого я понял всего два слова, которые были на английском. Однако благодаря функции Chrome переводить страницы, я понял что и как. У человека так-же была аналогичная проблема и он рекомендовал один интересный ресурс для сканирования сайтов на вредоносные скрипты www.sitecheck.sucuri.net/scanner/
Включив сканирование своего сайта мне выдало сообщение что ресурс заражен. Правда это я и без него знал:). Но главное он написал название скрипта и его полный исходный код, который соответствовал тому самому «аппендиксу» в файле functions.php .
Итак после подтверждения своей правоты я немедленно удалил дополнение add_action(‘get_footer’,’add_sscounter…

В результате блог снова работает.




Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *