Интернет 

Что такое вредоносный код. Ищем и убираем вредоносный код на WordPress Ставьте на серверное ПО надежные пароли

Правда жизни такова, что сайт рано или поздно могут взломать. После успешной эксплуатации уязвимости хакер старается закрепиться на сайте, размещая в системных директориях хакерские веб-шеллы, загрузчики и внедряя бэкдоры в код скриптов и базу данных CMS.

Для обнаружения вредоносного кода в файлах и базе существуют специализированные решения – антивирусы и сканеры для хостингов. Их не так много, из популярных – это AI-BOLIT , MalDet (Linux Malware Detector) и ClamAv .

Сканеры помогают обнаруживать загруженные веб-шеллы, бэкдоры, фишинговые страницы, спам-рассыльщики и другие типы вредоносных скриптов – все то, что им известно и заранее добавлено в базу сигнатур вредоносного кода. Некоторые сканеры, например, AI-BOLIT, обладают набором эвристических правил, которые позволяют обнаруживать файлы с подозрительным кодом, который часто используется во вредоносных скриптах, или файлы с подозрительными атрибутами, которые могут быть загружены хакерами. Но, к сожалению, даже в случае использования нескольких сканеров на хостинге, возможны ситуации, когда некоторые хакерские скрипты остаются не обнаруженными, что фактически означает, что у злоумышленника остается “черный ход” и он может взломать сайт и получить над ним полный контроль в любой момент.

Современные вредоносные и хакерские скрипты значительно отличаются от тех, что были 4-5 лет назад. Сейчас разработчики вредоносного кода комбинируют обфускацию, шифрование, декомпозицию, внешнюю подгрузку вредоносного кода и используют другие уловки для того, чтобы обманывать антивирусное ПО. Поэтому вероятность пропуска новых “вредоносов” значительно выше, чем раньше.

Что же можно сделать в данном случае для более эффективного обнаружения вирусов на сайте и хакерских скриптов на хостинге? Необходимо использовать комплексный подход: первоначальное автоматизированное сканирование и дальнейший ручной анализ. В этой статье речь пойдет о вариантах обнаружения вредоносного кода без сканеров.

Вначале рассмотрим, что именно следует искать при взломе.

  • Хакерские скрипты.
    Чаще всего при взломе загружают файлы, представляющие собой веб-шеллы, бэкдоры, “загрузчики” (uploaders), скрипты для спам-рассылок, фишинговые страницы + обработчики форм, дорвеи и файлы-маркеры взлома (картинки с лого хакерской группы, текстовые файлы с “посланием” от хакеров и т.п.)
  • Инжекты (внедрения кода) в существующих файлах .
    Второй по популярности тип размещения вредоносного и хакерского кода – это инжекты. В существующие файлы сайта.htaccess могут внедрять мобильные и поисковые редиректы, в php/perl скрипты инжектировать бэкдоры, в.js и.html шаблоны встраивать вирусные javascript фрагменты или редиректы на сторонние ресурсы. Возможны инжекты и в медиа-файлах, например.jpg или. Часто вредоносный код состоит из нескольких компонентов: сам вредоносный код хранится в exif-заголовке jpg файла, а исполняется с помощью небольшого управляющего скрипта, код которого не выглядит подозрительным для сканера.
  • Инжекты в базе данных .
    База данных является третьей мишенью для хакера. Здесь возможны статические вставки , , , , которые перенаправляют посетителей на сторонние ресурсы, “шпионят” за ними или заражают компьютер/мобильное устройство посетителя в результате drive-by атаки.
    Кроме того во многих современных CMS (IPB, vBulletin, modx и др.) шаблонизаторы позволяют исполнять php код, а сами шаблоны хранятся в базе данных, поэтому php код веб-шеллов и бэкдоров может быть встроен непосредственно в БД.
  • Инжекты в кэширующих сервисах.
    В результате некорректной или небезопасной настройки кэширующих сервисов, например, memcached, возможны инжекты в закэшированные данные “на лету”. В некоторых случаях хакер может внедрять вредоносный код на страницы сайта без непосредственного взлома последнего.
  • Инжекты / инцицированные элементы в системных компонентах сервера.
    Если хакер получил привелегированный (root) доступ к серверу, он может подменить элементы веб-сервера или кэширующего сервера на инфицированные. Такой веб-сервер будет с одной стороны обеспечивать контроль над сервером с помощью управляющих команд, с другой – время от времени внедрять динамические редиректы и вредоносный код на страницы сайта. Как и в случае инжекта в кэширующий сервис, администратора сайта скорее всего не сможет обнаружить факт взлома сайта, так как все файлы и база данных будут оригинальными. Этот вариант наиболее сложный для лечения.

    • Итак, предположим, что сканерами вы уже проверили файлы на хостинге и дамп базы данных, но они ничего не обнаружили, а вирусный по-прежнему на странице или мобильный редирект продолжает отрабатывать при открытии страниц. Как искать дальше?

    Поиск вручную

    В unix сложно найти более ценную пару команд для поиска файлов и фрагментов, чем find / grep.

    find . -name ‘*.ph*’ -mtime -7

    найдет все файлы, которые были изменены за последнюю неделю. Иногда хакеры “скручивают” дату изменения у скриптов, чтобы таким образом не обнаружить новые скрипты. Тогда можно поискать файлы php/phtml, у которых менялись атрибуты

    find . -name ‘*.ph*’ -сtime -7

    Если нужно найти изменения в каком-то временном интервале, можно воспользоваться тем же find

    find . -name ‘*.ph*’ -newermt 2015-01-25 ! -newermt 2015-01-30 -ls

    Для поиска в файлах незаменим grep. Он может искать рекурсивно по файлам указанный фрагмент

    grep -ril ‘stummann.net/steffen/google-analytics/jquery-1.6.5.min.js’ *

    При взломе сервера полезно проанализировать файлы, у которых установлен guid/suid флаг

    find / -perm -4000 -o -perm -2000

    Чтобы определить, какие скрипты запущены в данный момент и грузят CPU хостинга, можно вызвать

    lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ‘ { if(!str) { str=$1 } else { str=str»,»$1}}END{print str}’` | grep vhosts | grep php

    Используем мозг и руки для анализа файлов на хостинге
  • Идем в директории upload, cache, tmp, backup, log, images , в которые что-то пишется скриптами или загружается пользователями, и просматриваем содержимое на наличие новых файлов с подозрительными расширениями. Например, для joomla можно проверить.php файлы в каталоге images:find ./images -name ‘*.ph*’Скорее всего, если что-то найдется, то это будет вредонос.
    Для WordPress имеет смысл проверить на скрипты директорию wp-content/uploads, backup и cache каталоги тем.
  • Ищем файлы со странными именами
    Например, php, fyi.php, n2fd2.php. Файлы можно искать
    • по нестандартным сочетаниям символов,
    • наличию цифр 3,4,5,6,7,8,9 в имени файлов
  • Ищем файлы с нехарактерными расширениями
    Допустим, у вас сайт на WordPress или Для них файлы с расширениями.py, .pl, .cgi, .so, .c, .phtml, .php3 будут не совсем обычными. Если какие-то скрипты и файлы с данными расширениями будут обнаружены, скорее всего это будут хакерские инструменты. Возможен процент ложных обнаружений, но он не велик.
  • Ищем файлы с нестандартными атрибутами или датой создания
    Подозрения могут вызывать файлы с атрибутами, отличающимися от существующих на сервере. Например, все.php скрипты были загружены по ftp/sftp и имеют пользователя user, а некоторые созданы пользователем www-data. Имеет смысл проверить последние. Или если дата создания файла скрипта раньше даты создания сайта.
    Для ускорения поиска файлов с подозрительными атрибутами удобно пользоваться unix командой find.
  • Ищем дорвеи по большому числу файлов .html или.php
    Если в каталоге несколько тысяч файлов.php или.html, скорее всего это дорвей.
    • Логи в помощь

    Логи веб-сервера, почтового сервиса и FTP можно использовать для обнаружения вредоносных и хакерских скриптов.

    • Корреляция даты и времени отправки письма (которые можно узнать из лога почтового сервера или служебного заголовка спам-письма) с запросами из access_log помогают выявить способ рассылки спама или найти скрипт спам-рассыльщика.
    • Анализ трансфер-лога FTP xferlog позволяет понять, какие файлы были загружены в момент взлома, какие изменены и кем.
    • В правильно настроенном логе почтового сервера или в служебном заголовке спам-письма при правильной настройке PHP будет имя или полный путь до скрипта-отправителя, что помогает определять источник спама.
    • По логам проактивной защиты современных CMS и плагинов можно определять, какие атаки были выполнены на сайт и сумела ли CMS им противостоять.
    • По access_log и error_log можно анализировать действия хакера, если известны имена скриптов, которые он вызывал, IP адрес или User Agent. В крайнем случае можно просмотреть POST запросы в день взлома и заражения сайта. Часто анализ позволяет найти другие хакерские скрипты, которые были загружены или уже находились на сервере в момент взлома.
    Контроль целостности

    Намного проще анализировать взлом и искать вредоносные скрипты на сайте, если заранее позаботить о его безопасности. Процедура контроля целостности (integrity check) помогает своевременно обнаруживать изменения на хостинге и определять факт взлом. Один из самых простых и эффективных способов – положить сайт под систему контроля версий (git, svn, cvs). Если грамотно настроить.gitignore, то процесс контроля за изменениями выглядит как вызов команды git status, а поиск вредоносных скриптов и измененных файлов – git diff.

    Также у вас всегда будет резервная копия файлов, до которой можно «откатить» сайт в считанные секунды. Администраторам сервера и продвинутым веб-мастерам можно использовать inotify, tripwire, auditd и другие механизмы для отслеживания обращений к файлам и директориям, и контроля за изменениями в файловой системе.

    К сожалению, не всегда есть возможность настроить систему контроля версий или сторонние сервисы на сервере. В случае shared-хостинга не получится установить систему контроля версий и системные сервисы. Но это не беда, есть достаточно много готовых решений для CMS. На сайте можно установить плагин или отдельный скрипт, который будет отслеживать изменения в файлах. В некоторых CMS уже реализован эффективный мониторинг изменений и механизм integrity check (Например, в Битрикс, DLE). В крайнем случае, если на хостинге есть ssh, можно сформировать эталонный слепок файловой системы командой

    ls -lahR > original_file.txt

    и при возникновении проблем создать новый слепок в другой файл, а затем сравнить их в программах WinDiff, AraxisMerge Tool или BeyondCompare.

    Эпилог

    В большинстве случаев разработчики антивирусного ПО и сканеры не поспевают за разработчиками вредоносного кода, поэтому при диагностике и лечении сайтов нельзя полагаться только на автоматизированные программные решения и скрипты. Используя эвристический подход, богатый инструментарий операционной системы и возможности CMS можно находить вредоносный код, который не смогли обнаружить антивирусы и сканеры. Использование ручного анализа делает процесс лечения сайтов более качественным и эффективным.

    WordPress - это самый популярный движок для создания различных информационных сайтов и блогов. Безопасность вашего сайта - это больше чем безопасность ваших данных. Это намного важнее, потому что это и безопасность всех пользователей, которые читают ваш ресурс и доверяют ему. Вот почему так важно чтобы сайт не был заражен вирусами или любым другим вредоносным кодом.

    Как защитить WordPress от взлома мы рассмотрим в одной из следующих статей, а сейчас я хочу рассказать как проверить сайт WordPress на вирусы и вредоносный код, чтобы убедиться что все в безопасности.

    Самый первый вариант, который приходит на ум - вас взломали хакеры и встроили в код вашего сайта свои бэкдоры, чтобы иметь возможность рассылать спам, ставить ссылки и другие плохие вещи. Так иногда случается, но это довольно редкий случай если вы вовремя обновляете программное обеспечение.

    Существуют тысячи бесплатных тем для WordPress и различных плагинах и уже здесь может крыться угроза. Одно дело, когда вы скачиваете шаблон с сайта WordPress и совсем другое, когда находите на левом сайте. Недобросовестные разработчики могут встраивать различный вредоносный код в свои продукты. Еще больше риск, если вы скачиваете бесплатно премиум шаблоны, там взломщики уже ничем не рискуя могут добавить какую-нибудь дыру в безопасности, через которую потом смогут проникнуть и сделать то, что им нужно. Вот поэтому так важна проверка wordpress сайта на вирусы.

    Проверка wordpress сайта на вирусы

    Первое к чему нужно обратиться при проверке сайта не вирусы, это плагины WordPress. Быстро и просто вы можете сканировать свой сайт и найти подозрительные участки кода, на которые стоит обратить внимание, будь они в теме, плагине и самом ядре Wodpress. Рассмотрим несколько самых популярных плагинов:

    1. TOC

    Этот очень простой плагин проверяет все установленные на вашем сайте темы на предмет наличия в них вредоносного кода. Плагин выявляет скрытые ссылки, зашифрованные с помощью base64 вставки кода, а также выводит подробную информацию о найденных проблемах. Чаще всего, найденные части кода - это не вирусы, но они потенциально могут быть опасны, поэтому вам стоит обратить на них внимание.

    Откройте "Внешний вид" -> "TAC" затем дождитесь пока все темы будут проверены.

    2. VIP Scanner

    Очень похожий на TOC сканер для тем, но выводит больше подробной информации. Те же самые возможности по обнаружению ссылок, скрытого кода и других вредоносных вставок. Просто откройте пункт VIP Scaner в разделе инструменты и анализируйте результат.

    Возможно, достаточно удалить лишние файлы, например, desktop.ini. Или же нужно более подробно посмотреть что происходит в файлах использующих base64.

    3. Anti-Malware from GOTMLS.NET

    Этот плагин позволяет не только сканировать темы и ядро сайта на наличие вирусов, но и защищать сайт от перебора паролей и различных XSS, SQLInj атак. Поиск выполняется на основе известных сигнатур и уязвимостей. Некоторые уязвимости можно на месте устранять. Чтобы начать сканировать файлы откройте "Anti-Malvare" в боковом меню и нажмите "Run Scan" :

    Перед тем как вы сможете запустить сканирование, нужно обновить базы данных сигнатур.

    4. Wordfence

    Это один из самых популярных плагинов для защиты WordPress и сканирования на наличие вредоносного кода. Кроме сканера, который может найти большинство закладок в коде WordPress, здесь есть постоянная защита от различных видов атак и перебора паролей. Во время поиска плагин находит возможные проблемы с различными плагинами и темами, сообщает о необходимости выполнить обновление WordPress.

    Откройте вкладку "WPDefence" в боковом меню, а затем перейдите на вкладку "Scan" и нажмите "Start Scan" :

    Сканирование может занять определенное время, но по завершении вы увидите подробный отчет об обнаруженных проблемах.

    5. AntiVirus

    Это еще один простой плагин, который просканирует ваш шаблон сайта на наличие вредоносного кода. Недостаток в том, что сканируется только текущий шаблон, но информация выводится достаточно подробно. Вы увидите все опасные функции, которые есть в теме и затем можете детально проанализировать представляют ли они какую-либо опасность. Найдите пункт "AntiVirus" в настройках, а затем нажмите "Scan the theme templates now":

    6. Integrity Checker

    Также желательно проверить целостность файлов WordPress, на случай, если вирус уже записался уже куда-нибудь. Для этого можно использовать плагин Integrity Checker. Он проверяет все файлы ядра, плагинов и шаблонов на изменения. В конце сканирования вы увидите информацию об измененных файлах.

    Онлайн сервисы

    Существует также несколько онлайн-сервисов, которые позволяют проверить сайт wordpress на вирусы или проверить только шаблон. Вот некоторые из них:

    themecheck.org - вы загружаете архив темы и можете смотреть все предупреждения о возможных вредоносных функциях, которые в ней используются. Вы можете не только смотреть информацию о своей теме, но и о других темах, загруженных другими пользователями, а также о разных версиях темы. Все что находят плагины, может найти и этот сайт. Проверка wordpress темы тоже очень важна.

    virustotal.com - всем известный ресурс, где вы можете проверить свой сайт или файл шаблона на вирусы.

    ReScan.pro - проверка WordPress сайта на вирусы с помощью этого сервиса бесплатна, выполняется статический и динамический анализ, чтобы обнаружить возможные редиректы сканер открывает страницы сайта. Проверяет сайт по различным черным спискам.

    sitecheck.sucuri.net - простой сервис для сканирования сайта и тем на вирусы. Есть свой плагин для WordPress. Обнаруживает опасные ссылки и скрипты.

    Ручная проверка

    Ничего не может быть лучше чем ручная проверка. В Linux есть такая замечательная утилита grep, которая позволяет искать вхождения произвольных строк в папке с файлами. Осталось понять что мы будем искать:

    eval - эта функция позволяет выполнять произвольный php код, ее не используют уважающие себя продукты, если один из плагинов или тема используют эту функцию почти со стопроцентной вероятностью можно сказать, что там есть вирус;

    • base64_decode - функции шифрования могут использоваться вместе с eval, чтобы спрятать вредоносный код, но они могут применяться и в мирных целях, так что будьте внимательны;
    • sha1 - еще один метод шифрования вредоносного кода;
    • gzinflate - функция сжатия, те же цели, вместе с eval, например, gzinflate(base64_decode(код);
    • strrev - переворачивает строку задом не перед, как вариант может использоваться для примитивного шифрования;
    • print - выводит информацию в браузер, вместе с gzinflate или base64_decode опасно;
    • file_put_contents - сам WordPress или плагины еще могут создавать файлы в файловой системе, но если это делает тема, то уже стоит насторожиться и проверить зачем ей это, так могут устанавливаться вирусы;
    • file_get_contents - в большинстве случаев используется в мирных целях, но может использоваться для загрузки вредоносного кода или чтения информации из файлов;
    • curl - та же история;
    • fopen - открывает файл для записи, мало ли для чего;
    • system - функция выполняет команду в системе Linux, если это делает тема, плагин или сам wordpress, скорее всего, там вирус;
    • symlink - создает символические ссылки в системе, возможно, вирус пытается сделать основную файловую систему доступной из вне;
    • copy - копирует файл с одного места в другое;
    • getcwd - возвращает имя текущего рабочего каталога;
    • cwd - изменяет текущую рабочую папку;
    • ini_get - получает информацию о настройках PHP, чаще в мирных целях, но мало ли;
    • error_reporting(0) - отключает вывод любых сообщений об ошибках;
    • window.top.location.href - javascript функция, используемая для редиректов на другие страницы;
    • hacked - так, на всякий случай, проверяем, вдруг, хакер сам нам решил рассказать.

    Вы можете подставлять каждое отдельное слово в такую команду:

    grep -R "hacked" /var/www/путь/к/файлам/wordpress/wp-content/

    Или же использовать простой скрипт, который будет искать все слова за раз:

    values="base64_decode(
    eval(base64_decode
    gzinflate(base64_decode(
    getcwd();
    strrev(
    chr(ord(
    cwd
    ini_get
    window.top.location.href
    copy(
    eval(
    system(
    symlink(
    error_reporting(0)
    print
    file_get_contents(
    file_put_contents(
    fopen(
    hacked"

    cd /var/www/путь/к/файлам/wordpress/wp-content/
    $ fgrep -nr --include \*.php "$values" *

    Каждый вебмастер обнаружив вредоносный код на своем сайте , получает массу не очень приятных впечатлений. Владелец сайта сразу же, в панике пытается найти и уничтожить вирус, и понять каким же образом эта гадость могла попасть на его сайт. Но как показывает практика, найти вредоносный код на сайте не так уж и просто. Ведь вирус может прописаться в один или в несколько файлов, из огромного количества которых состоит сайт, будь то движок работающий на вордпрессе или обычный сайт на html .

    Вчера, проверяя свою почту, я обнаружил письмо от Google, о том что посещение определенных страниц моего сайта может привести к заражению компьютеров пользователей вредоносными программами. Теперь пользователям, переходящим на эти страницы по ссылкам в результатах поиска Google.ru, отображается страница с предупреждением. Этот сайт не был добавлен мной в панель вебмастера Google, поэтому я был оповещен по почте. В панели вебмастера у меня находилось еще несколько сайтов, зайдя туда я в ужасе увидел предупреждение о вредоносном коде еще на двух своих сайтах.
    В итоге, на трех моих сайтах поселился вредоносный код , который мне предстояло найти и уничтожить. Один из сайтов работал на вордпрессе, другие два состояли из обычных php страниц.

    Стоит заметить, что Google среагировал гораздо быстрее Яндекса на наличие вредоносного кода. В панели вебмастера Яндекса, предупреждение о наличии вируса на сайте так и не появилось. Благо, в течении нескольких часов я успел найти этот злосчастный вирус.

    Как правило, чаще всего сайты заражает так называемый iframe-вирус . По сути, этот вирус состоит из кода …. . Вирус ворует все пароли с Total Commander или другого ftp-клиента . В моем случае, произошло тоже самое, код iframe прописался в нескольких десятках файлов на моем сайте. На сайте, который работал на вордпрессе, вредоносный код успел обосноваться лишь в footer.php .

    И так, как найти вредоносный код , если Вы обнаружили что Ваш сайт заражен:

    1. Заходим в панель управления хостингом и меняем пароль. Елси у Вас несколько сайтов, то проделываем это со всеми своими сайтами.

    2. Меняем и удаляем пароли в ftp-клиенте . Больше никогда не храним пароли в ftp-клиентах, всегда вводим их вручную.

    3. Можно зайти на хостинг по ftp , и посмотреть что изменилось в Ваших файлах. Отсортируйте файлы по дате последнего изменения. У тех файлов, которые заражены, дата должна быть свежая и одинаковая. Откройте эти файлы и ищите код iframe , как правило этот код располагается в самом конце. В основном, вредоносный код прописывается в файлах: index.php, index.html , в файлах с расширением .js . Нередко, эта зараза проживает между тегами … .
    Для самописных сайтов, очень внимательно просмотрите все файлы и папки скриптов, вирус частенько прописывается именно там. Так же, излюбленное место обитания этого вируса, в кодах счетчиков для сайта, и в рекламных кодах.

    4. Проверьте файл.htaccess на наличие подозрительного кода. Иногда вредоносный код проникает и в этот файл. Обычно в файлах движка существует несколько директорий, в которых может находиться файл .htaccess. Проверьте все эти файлы и убедитесь в «чистоте» кода.

    Что касается файлов вордпресса или другой CMS , как правило любая CMS состоит из множество файлов и папок, и найти в них вредоносный код очень сложно. Например, для вордпресса могу порекомендовать плагин TAC . Этот плагин проверяет файлы во всех темах в папке themes на наличие стороннего кода. Если TAC найдет не желательный код, то покажет путь к этому файлу. Таким образом, можно вычислить и маскирующийся вирус.
    Скачать плагин TAC: wordpress.org

    Вообще, стоит постоянно держать в памяти все действия, которые Вы производили со своими файлами сайта. Помнить, что меняли или добавляли в тот или иной код.

    Когда найдете и удалите вредоносный код, то не помешает проверить свой компьютер на наличие вирусов.
    И если Ваш сайт был помечен Гуглом или Яндксом как зараженный, то через панель вебмастера надо отправить запрос на повторную проверку. Как правило, в течении суток все ограничения с Вашего сайта поисковики должны убрать. Мой запрос на повторную проверку Гугл обрабатывал не долго, и через несколько часов с моих сайтов были сняты все ограничения.

    Вредоносный код попадает на сайт по неосторожности или злому умыслу. Назначения вредоносного кода различны, но, по сути, он наносит вред или мешает нормальной работы сайта. Чтобы убрать вредоносный код на WordPress его нужно сначала, найти.

    Что такое вредоносный код на сайте WordPress

    По внешнему виду, чаще всего, вредоносный код это набор букв и символов латинского алфавита. На самом деле это зашифрованный код, по которому исполняется, то или иное действие. Действия могут быть самые различные, например, ваши новые посты, сразу публикуются на стороннем ресурсе. По сути это кража вашего контента. Есть у кодов и другие «задачи», например, размещение исходящих ссылок на страницах сайта. Задачи могут самые изощренные, но понятно одно, что за вредоносными кодами нужно охотиться и удалять.

    Как попадают вредоносные коды на сайт

    Лазейки для попадания кодов на сайт, также множество.

  • Чаще всего, это темы и плагины скачанные с «левых» ресурсов. Хотя, такое проникновение характерно для, так называемых, зашифрованных ссылок. Явный код так не попадает на сайт.
  • Проникновение вируса при взломе сайта, самое опасное. Как правило, взлом сайта позволяет разместить не только «одноразовый код», но установить код с элементами malware (вредоносной программы). Например, вы находите код, и удаляет его, а он восстанавливается, через некоторое время. Вариантов, опять — таки множество.

    • Сразу замечу, борьба с такими вирусами трудная, а ручное удаление требует знаний. Есть три решения проблемы: первое решение – использовать плагины анитвирисники, например, плагин под названием BulletProof Security .

    Такое решение дает хорошие результаты, но требует времени, хотя и небольшого. Есть более радикальное решение, избавления от вредоносных кодов, включая сложные вирусы, это восстановить сайт из заранее сделанных резервных копий сайта.

    Так как, хороший веб-мастер делает периодически, то откатиться на не зараженную версию, получится без проблем. Третье решение для богатых и ленивых, просто обращаетесь в специализированную «контору» или специалисту индивидуалу.

    Как искать вредоносный код на WordPress

    Важно понимать, что вредоносный код на WordPress может быть в любом файле сайта, и не обязательно в рабочей теме. Он может занестись с плагином, с темой, с «самодельным» кодом взятого из Интернет. Попробовать найти вредоносный код можно несколькими способами.

    Способ 1. Вручную. Листаете все файлы сайта и сравниваете их с файлами незараженного бэкапа. Находите чужой код – удаляете.

    Способ 2. С помощью плагинов безопасности WordPress. Например, . У этого плагина есть замечательная функция, сканирование файлов сайта на наличие чужого кода и плагин прекрасно справляется с этой задачей.

    Способ 3. Если у вас, разумный support хостинга, и вам кажется, что на сайте «чужой», попросите их просканировать ваш сайт своим антивирусом. В их отчете будет указаны все зараженные файлы. Далее, открываете эти файлы в текстовом редакторе и удаляете вредоносный код.

    Способ 4. Если вы можете работать с SSH доступом к каталогу сайта, то вперед, там своя кухня.

    Важно! Каким бы способом вы не искали вредоносный код, перед поиском и последующим удалением кода, закройте доступ к файлам сайта (включите режим обслуживания). Помните про коды, которые сами восстанавливаются при их удалении.

    Поиск вредоносных кодов по функции eval

    Есть в php такая функция eval . Она позволяет исполнять любой код в ее строке. Причем код может быть закодирован. Именно из-за кодировки вредоносный код выглядит, как набор букв и символов. Популярны две кодировки:

  • Base64;
  • Rot13.

    • Соответственно в этих кодировках функция eval выглядит так:

    • eval (base64_decode (...))
    • eval (str_rot13 (...)) //во внутренних кавычках, длинные не понятные наборы букв и символов..

    Алгоритм поиска вредоносного кода по функции eval следующий (работаем из административной панели):

    • идёте в редактор сайта (Внешний вид→Редактор).
    • копируете файл functions.php .
    • открываете его в текстовом редакторе (например, Notepad++) и по поиску ищите слово: eval .
    • если нашли, не спешите ничего удалять. Нужно понять, что эта функция «просит» исполнить. Чтобы это понять код нужно раскодировать. Для раскодирования есть онлайн инструменты, называемые декодеры.
    Декодеры/Кодеры

    Работают декодеры просто. Копируете код, который нужно расшифровать, вставляете в поле декодера и декодируете.

    На момент написания статьи я не нашел у себя ни одного зашифрованного кода найденного в WordPress. Нашел код с сайта Joomla. В принципе разницы для понимания раскодирования нет. Смотрим фото.

    Как видите на фото, функция eval после раскодирования, вывела не страшный код, угрожающий безопасности сайта, а зашифрованную ссылку копирайта , автора шаблона. Его тоже можно удалить, но он вернется после обновления шаблона, если вы не используете .

    В завершении замечу, чтобы не получить вирус на сайт:

    • Вредоносный код на WordPress чаще приходит с темами и плагинами. Поэтому не ставьте шаблоны и плагины из «левых», не проверенных ресурсов, а если ставите, внимательно их прокачайте, на наличие ссылок и исполнительных функций php. После установки плагинов и тем с «незаконных» ресурсов, проверьте сайт антивирусами.
    • Обязательно делайте периодические бэкапы и выполняйте другие .

    Всем здравствуйте! Сегодня поговорим о вредоносном коде на сайте . Расскажу вам неприятную историю, которая произошла с моим блогом в первый год его существования. А вообще-то, на написание этого поста меня подтолкнула моя постоянная читательница Галина – автор замечательного блога про рукоделие “Дамские пальчики”.

    Она написала мне на почту и поведала о том, что её блог заражен вредоносным кодом, о чем ей сообщил Яндекс. И она не знает, как его найти, а тем более избавиться. Попросила найти ей хорошего специалиста, который бы смог решить эту задачку. Я ей посоветовал биржу freelance, где сам когда-то искал и нашел такого спеца. Позже она отписалась и поблагодарила меня, сообщив, что нашла специалиста, который справился с поставленной задачей.

    Ну, а я продолжу свой рассказ, про то, как когда-то нашел у себя на блоге вредоносный код и избавился от него…

    История начинается одинаково – как у Галины. С сервиса Яндекс.вебмастер получил я сообщение, что на моем сайте находится вредоносный код. Вообще, при ведении блога неприятности случаются постоянно.

    Первая мысль, когда такое происходит — за что? Ну, а если поразмыслить немного, то вопрос этот сам себе задаешь уже несколько иначе — для чего? А для того, разумеется, чтобы человек, ведущий блог, не замыкался на вариантах из нескольких рутинных действий: написал статью – разместил – ответил на комментарии – установил новый плагин или удалил какой-нибудь, ставший не нужным… И так по кругу 🙂 Про раскрутку не упомянул, ну да ладно…

    Не случилось бы со мной этого, откуда бы я узнал, что такое зараженная тема и как она заражается. Теперь вот знаю. А что до нервных клеток, так у меня их много, пока…

    Вредоносный код — что это такое?

    Что значит вредоносный код? Это php или html код, внедренный вами или ботом в страницы вашего блога. Почему вами? Вот один из вариантов. Смотрите, вам написали на почту, что хотят купить на вашем блоге рекламу или разместить рекламный пост. Заманчиво, правда? Вы, по незнанию и неопытности естественно соглашаетесь, ведь это же здорово – первый заработок!

    Так вот, остерегайтесь таких предложений от непроверенных источников, потому что есть большая вероятность того, что в рекламном коде банера или в статье будет находится вредоносный код, который однозначно испортит репутацию вашего детища перед вашими читателями и поисковыми системами. Безопаснее всего – продавать рекламу через специализированные биржи.

    Этот код способен заражать через браузер другие компьютеры, за которыми сидят случайные посетители или постоянные читатели вашего блога. Этот код может быть зашифрованным, что усугубляет положение, так как перед тем, как удалить, его нужно будет сначала расшифровать, а это задача не из легких и не из дешевых.

    А бывает еще и так, что пытаясь найти какую-либо информацию в сети, натыкаешься на сайт, где вместо привычного интерфейса видишь грозное предупреждение на красном полотнище: Сайт заражен вредоносным кодом и представляет угрозу для вашего компьютера. Это хорошо, так как срабатывает ваша антивирусная программа + системная безопасность компьютера. Ну, а если у вас не установлен антивирус, либо он не сработал, как следует, а вы перешли по зараженной ссылке, либо скачали на свой компьютер зараженную программу или понравившийся трек или картинку??? Тогда пиши – пропало…

    Если о зараженности вашего сайта вам поведал Яндекс, то в разделе вы найдете список страниц, на которых находится вредоносный код, а также описание возможных вариантов их уничтожения. Поскольку, прочтя сообщение, я вообще потерял способность соображать, то закрыл Вебмастер и даже не заметил, что там есть для меня какая-то дополнительная информация. Вообще — люблю делать лишнюю работу, слабость у меня такая 🙂

    До того, как я заказал платно чистку своего блога на фриланс.ру, я проверил его на нескольких сервисах, одни из которых нашли эту “заразу”, а некоторые не заметили. Но, может быть я неправильно ими пользовался? Все может быть…

    Как удалить вредоносный код с сайта?

    Итак, какие есть возможности проверить сайт на наличие этой напасти? В статье приведу пример нескольких сервисов, которые выдавали разные ответы в отношении зараженности моего ресурса.

    Что это за проверка, если на одном сервисе вредоносный код найден, а на другом, претендующем на звание эксперта в этом деле, все отлично, ничто не найдено. Успокоится человек, а вредоносный код никуда не денется. А вдруг они там и размножаться умудряются? Что случилось на моем сайте?

    У меня было два “вредных” кода. И все два неизвестным образом поселились в теме блога. Видимо она была дырявая, чем и воспользовались злоумышленники, а может быть просто бот-программа подселила этот код ко мне в шаблон. Рекламу я тогда не ставил – рано было, да и если бы поставил, то только от Яндекса или Гугла.

    Подозреваю, что уровень заражения моего сайта была средняя, в сравнении с тем, что, может случиться. Ведь вирус может поселиться на сайте и со стороны хостинга, и тогда удалить его оттуда будет намного сложнее. Он может обнаружиться в файле.htaccess веб-сервера или в таблицах базы данных. Одна из основных причин его появления там — взлом или кража пароля для доступа к сайту.

    На дана исчерпывающая информация для тех, кому предстоит решать эту неприятную проблему. После того, как будут предприняты определенные шаги по борьбе с вирусами, можно заказать Яндексу повторную проверку на чистоту кода вашего сайта. Сначала я проверил блог несколько раз с помощью нескольких сервисов, а потом заглянул в Яндекс.Вебмастер и у них попросил повторно проверить свой сайт на вирусы и прочую нечисть.

    Пишет же Яндекс, что это серьезная проблема, значит, и варианты ее решения могут быть гораздо сложнее. Найти – нашел, а как удалить – не знаю, не опытный ведь тогда был. Вот и пришлось обращаться к фрилансерам. За 500 рублей один хороший дяденька почистил мой блог от “заразных какашек”.

    Знаю, что один мой товарищ по несчастью избавился от них, обратившись к хостеру и сделав откат (тоже вариант), причем не на пару дней, а гораздо больше. Пришлось пожертвовать последними опубликованными статьями (хорошо, были копии), но сайт дороже.

    Вот список сервисов по поиску зараженных ссылок и кода, и почти обо всех я прочел в интернете вполне положительные отзывы:

    Safeweb.norton.com - работает, но по отзывам на одном сайте, сервис достаточно кокетливый: то диагностирует наличие вредоносного кода, то скрывает его. Ему я бы не доверял.
    Virustotal.com – из рассказа очевидца: проверка подозрительной ссылки и всего сайта в целом производилась с помощью 33 антивирусных сканеров в on-line режиме. Наличие вредоносного кода подтвердилось. Клиент остался доволен.
    Virusnasaite.ru – обычная проверка, никаких эмоций.
    Siteguard – можно добавлять несколько URL адресов сайтов.

    Итак, эпопея с поиском и уничтожением вредоносного кода была закончена, блог был чист, я успокоился, но не переставал быть бдительным и проверял и проверяю до сих пор свой блог на наличие заразы в виде вредоносного кода при помощи этих сервисов.

    Зачем ждать очередного письма от Яндекса? Не лучше ли самому хотя бы раз в месяц проверять свой сайт на наличие вирусов? А если они все же появятся, то определить хотя бы приблизительно временные рамки их проникновения будет совсем не лишним. Да и откат на несколько месяцев или на один месяц — разница есть?

    Так, что очень рекомендую регулярно пользоваться этими площадками на предмет проверки вредоносного кода на ваших блогах. Ну, а если у вас уже есть свой личный горький опыт по борьбе с вирусами на сайте, поделитесь, пожалуйста, поскольку вариантов решения этой проблемы, я так понимаю, не один и не два.

    До встречи на Seo bloge Fomika…



    error: Content is protected !!