Приводится перевод статьи «Removing Malware from a WordPress blog» о том, как удалить вредоносный код на сайте WordPress, если сайт заражен или взломан. Автор:David Dede
Данная статья рекомендована к ознакомлению разработчиками WordPress. В ней дается хорошая возможность проследить за работой профессионалов по выявлению и удалению вредоносного кода из сайта.
Removing Malware from a WordPress blog Ч1
В начале этой недели мы были наняты для удаления вредоносного кода из весьма популярного веб-сайта. Вредоносный код был там некоторое время и сайт попал в черный список Google. Вот как владелец это заметил.
Каждый раз, когда кто-то пытался посетить его сайт (с помощью Chrome или Firefox) или искать этот сайт через Google, отображалось уродливое сообщение « Report attack Site « (Отчет об атаке сайта).
Ох, не хорошо для владельца сайта, который делает деньги на рекламе и не может позволить себе потерять пользователей. Если бы они использовали наш монитор веб-целостности , то этого бы не случилось, но так как они этого не сделали, теперь настало время исправить эту проблему.
1 Понимание проблемы
Первое, что мы сделали — это посмотрели, где и как код появляется. Мы использовали простой дамп инструмент, чтобы увидеть исходный код страницы (lynx — инструмент командной строки, доступный в большинстве Linux систем):
Это показывает весь исходный код страницы и, анализируя его, мы увидели следующий странный JavaScript (слегка изменено для защиты от компрометации):
Кроме того, мы использовали наш сайт сканер (бесплатный) и он подтвердил, что это действительно вредоносный код.
2Анализ JavaScript
Есть несколько способов для анализа вредоносного JavaScript, и мы выбрали более легкий. Мы видим, что они добавили замаскированный JavaScript, незамаскированный и использовали функцию Eval для анализа содержания. Я скопировал JavaScript в локальный файл и изменил конец»Eval» функции для «предупреждения». Теперь, вместо того, чтобы выполнять код, она будет распечатывать его.
Таким образом, незамаскированный код загружает другой скрипт с сайта martuz.cn. После небольшого поиска, это, как оказалось, — старые атаки (с середины 2009 года), которые каким-то образом до сих пор существуют. Martuz.cn сейчас недоступен, так что хорошей новостью является то, что это нападение ничего не делает по отношению к пользователям.
3 Очистка WordPress
После того как мы нашли то, что это за код был и что делал, теперь настало время, чтобы удалить его с сайта. Это то, что мы сделали:
- Резервное копирование всей базы данных WordPress (с помощью инструмента экспорта и при помощи дампа SQL)
- Вернулись ко всему каталогу (директории) WordPress для анализа и удаления его с сайта
- Изменили все пароли, удалили неиспользуемые учетные записи и службы.
- Переустановлена ??WordPress с нуля (последняя версия), повторно импортировали базы данных (после проверки, что это безопасно) и переустановили их тему с нуля (чтобы убедиться, что она не была взломана тоже).
- Работали с Google, чтобы сайт был удален из черного списка
Ужастик, прямо!
Это хорошо, что удается очистить сайт, но все равно есть такое понятие как «дурная слава».
У меня есть мои любимые местечки в интернете, но если я вдруг один раз вижу , типа, такой отчет об атаке на сайт, то бегу оттуда как можно скорее, и больше стараюсь туда не заходить. Просто от греха подальше. Сайтов в интернете множество, а компьютер у меня один.
Главное уметь очищать и следит за своим сайтом, что у мне лично трудно. Но надеюсь со временем и я и все мои друзья смогут управляться сами!
Я тоже попадала в такую ситуацию, когда сайту было только 2 месяца, очень неприятно.
Господи, сколько ужасов! Мы стали бояться компьютерных вирусов не меньше, чем холеры или чумы! Просто страшно стало гулять по интернету. А про свой сайт я вообще молчу, так как данная статья убедила меня в том, что я никогда сама ни в чем не разберусь.
Благодарю. Не хотелось бы получить такой код на своем сайте
Врядли сам найду вредоносный код в сайте, если не дай Бог взломают.Только к профессионалам.
Оч. полезная статья про вредоносов! Спасибо!
Полезная информация об удалении вредоносного кода. Спасибо.
Такие знания непременно нужны для владельцев сайтов. Уж очень много труда в них вкладывается.
Да уж всякие вредители есть. Мне правда не понятны их мотивы, лучше бы взломали сайт какого-нибудь банка или учреждения.
Интересно, и как этим можно заразится? Я вот недавно кликнула на коммент на одном из сайтов учеников Старт Ап и поймала — смс сайт заблокирован и т.д. и т.п. Конечно выключила сразу весь из розетки, пронесло, но приятного скажу мало. Теперь буду знать про такую заразу. И всё-таки, как уберечься и кто такие пакости делает, интересно знать?
Умение придет с практикой
Верная тактика
Спасибо за пост о заражении.
Искандер, как обычно актуальная и важная информация. Не для среднего блоггера, конечно. Но те, кто продвинутее, разберутся и смогут защитить себя. Спасибо!
Большое спасибо за информацию по удалению вредоносного кода!
Очень полезная информация, спасибо. Но, в случае, если сайт заражен, лучше обращаться к специалистам, а самому можно накосячить, если не разбираешься в коде.
Хорошо, что есть такие мастера, которые и научат и покажут, и объяснят, что нужно сделать, если есть вредоносный код на сайте.
О том как уберечься рассказано в Ч2 и предыдущих переводах и статьях. Двумя словами не пояснишь, поэтому читайте. Такие пакости очень часто делают владельцы сайтов сами себе, когда не уделяют должного внимания безопасности компьтера, заражают его, после чего воруются пароли и заражается сайт -самый распространенный вариант.
Здравствуйте, Искандер!
После того, как столкнулась с последствиями заражения своего сайта троянской программой(практически, в самом начале его создания), следуя Вашей рекомендации, установила плагин Web Security Tools. С тех пор — пока все в норме.
Но, эта публикация возвращает к пониманию того, что обычному пользователю Интернет не возможно самостоятельно осилить все премудрости неравной борьбы!
Захожу на Ваш сайт в надежде на хоть какое-то просвещение…
Спасибо за помощь.
С этим плагином нужно быть поаккуратнее. Он может заблокировать сайт, если сам не справляется с заражением. В этом случае нужно переименовать или удалиь через FTP клиент все .htaccess файлы. Дойдут руки, опишу эту проблему подробнее.
Мне заражали сайт, пришлось платить 500 руб, чтобы удалить вирус…Сам-то не соображаю)))
Проблемы с безопасностью могут возникнуть в самый неподходящий момент, спасибо за подробную информацию.
Спасибо за ссылку на бесплатный сканер.Проверила оба сайта, на одном даже нашла предупреждение и удалила на хосте по указанному пути какой-то нехороший файл.Только вот меня вводит в заблуждение один факт, я проверила один сайт, на который уже не захожу как раньше, потому что всплывает то самое нехорошее окно о зараженности сайта.Так вот сканер почему-то после проверки написал, что сайт чист.Как такое может получиться?
Онлайн проверки не всегда выявляют заражение
Да, от сумы и от тюрьмы…
Значит сканер бесполезен? И любом вроде как безопасном сайте может быть заражение? Час от часу не легче-)))
Полезен, но нужно использовать и другие онлайн сервисы, а также плагины и осмотр вручную
Спасибо большое, Искандер, за хорошую статью, предупрежден- значит вооружен, не дадим вирусам испортить нашу жизнь).
Спасибо, важная информация об удалении вредоносного кода
Полезная информация,но не обладая определенными навыками самому решить её будет сложно.
Эти статьи и переводились с тем расчетом, чтобы люди поняли, с чем придется иметь дело, если пренебрегать мерами обеспечения безопасности.
если я захожу на сайт, а меня предупреждают, что «осторожно, вирусы», то лучше всего убегать с этого сайта. Но зачастую меня просто не пускает сам комп дальше. Предупреждает и закрывает мне доступ к плохому сайту.