Поиск и удаление вредоносного кода на сайте. Проверить сайт на вредоносный код


Сервисы для проверки сайта на вредоносный код

Сервисы для проверки сайта на вредоносный код

Что делать, если антивирусные программы ругаются на ваш портал, а Яндекс.Вебмастер сообщает о наличии вредоносного кода? Необходимо быстро удалить все, что может навредить простым пользователям. Но если вам не известно, что именно содержит нежелательный код, то помогут специальные онлайн сервисы.

Virustotal.com

Популярный сервис для проверки файлов и сайтов. Для сканирования используются более 50 антивирусов, среди которых присутствуют решения Лаборатории Касперского, ESET и Dr.Web. В результатах отображается только общие сведения (чистый или зараженный сайт).

Antivirus-alarm.ru

Портал, посвященный защите сайтов от различных вирусов. Позволяет проверять страницы по мировым антивирусным базам, выводит результат по каждому антивирусу. Также отображает информацию по нежелательным скриптам и сомнительным внешним ссылкам.

2ip.ru

Поисковые системы Google и Yandex делят все сайты на безопасные и небезопасные. К небезопасным сайтам в поисковой выдаче добавляется соответствующее предупреждение, которое будет отталкивать многих пользователей. Данный сервис позволяет узнать к какой категории относится ваш сайт.

Drweb.com

Официальный портал антивирусных программ Dr.Web. Содержит сервис для проверки файлов и сайтов. Для сканирования используются собственные алгоритмы и вирусные базы. В результатах выводится общая информация и по отдельным скриптам.

Sucuri.net

Сервис для полного сканирования сайта. В отчете отображается информация по безопасности, нахождению в черных списках и наличию всевозможных вирусов. Кроме того, вы узнаете о сервере, всех внутренних ссылках и скриптах. А также сможете просмотреть статус в различных сервисах (поисковых системах и антивирусных базах).

Xseo.in

Сервис для сканирования отдельных страниц сайта. Считает количество найденных вирусов и отображает информацию по ним. Также проверяет на наличие санкций поисковых систем и нахождения в базах фишинг сайтов.Wepawet.iseclab.org

Сервис для обнаружения и анализа веб-угроз. На данный момент умеет сканировать Java скрипты, Flash и Pdf файлы. Обратите внимание, что проверка выполняется не мгновенно, а в течении 3-6 минут.

www.woinfo.ru

Сканирование сайта на вредоносный код

Опубликовано в Проверка веб-сайтов   18 Июля, 2017

В интернете от рисков взлома сайта не застрахован ни один веб-мастер. Даже самый навороченный ресурс, с защищённым от внешнего воздействия движком и продуманной системой безопасности может быть вскрыт хакерами в любое время.

Источники вирусного заражения сайтов

Проверка сайта на вирусы позволяет выявить несколько основных причин заражения:

  • Злоумышленники при помощи троянских программ получают доступ либо к админ-панелям CMS, FTP, либо – к аккаунту SSH-протокола.
  • Сайт становится уязвимым из-за сбоя определённого приложения, через который хакеры получают возможность менять внутренний код.
  • Источник опасности кроется в счётчике или баннере, встроенной партнёрской программе, которые могут навредить даже пользователем сайта.

Для того, чтобы обезопасить свою площадку от серьёзных последствий вирусной деятельности, рекомендуется периодически проверять сайт на вредоносный код. В этой статье мы рассмотрим несколько основных рекомендаций, которые помогают обезопасить сайт от действий вредителей.

Какие программы и сервисы использовать для сканирования сайта на вирусы?

Выявить причину вирусного заражения помогает множество сервисов, часть из которых работает онлайн.

Среди онлайн-сервисов большой популярностью пользуются, к примеру, портал 2ip. Этот ресурс, однако, полезен с точки зрения внешней проверки сайта, – его используют обычные пользователи.

Веб-мастера могут проверить сайт на вирусы и вредоносный код при помощи специальной вкладки «Безопасность», открывающейся в Яндекс.Вебмастере. Если на сайте действительно обнаруживаются проблемы, то Яндекс-Вебмастер выдаёт в качестве результата список подвергшихся заражению страниц, прописывая для каждой из них и тип вируса.

Обнаружить вредоносный код в файловой системе или просканировать всю базу помогают специально разработанные антивирусы и хостинговые сканеры. Они обнаруживают на сайте так называемые бэкдоры (нарушения алгоритмов) и веб-шеллы (вредоносные скрипты), рассылки спама и фишинговые страницы.

Современные хакерские скрипт-разработки постоянно совершенствуются и апгрейдируются, поэтому проверку сайта на вредоносный код лучше проводить с использованием самых свежих версий актуальных сканеров. Устаревшее программное обеспечение, с редко обновляемым базами сигнатур гарантировать полную безопасность сайта не могут.

Избавиться от вирусов на сайте проблем не составит

После того, как выявлен источник заражения, определён его тип и степень вредоносности, возникает закономерный вопрос, – «А что делать дальше?».

К сожалению, многие программные решения и онлайн-сервисы способны только распознавать проблемы на сайте. Удалять же вирусную заразу приходится либо вручную (на что способен далеко не каждый веб-мастер), либо – обратившись за помощью к стороннему специалисту. И второй вариант отнюдь не самый оптимальный, поскольку обращение к услугам хорошего программера может «влететь в копеечку».

Впрочем, выход из положения есть. Антивирусный сервис Virusdie предлагает ряд современных и удобных инструментов, которые не только позволяют проверить сайт на вредоносный код онлайн, но и автоматически избавляют от любого типа вирусного заражения. Ко всему прочему Virusdie защищает в реальном времени от большинства внешних угроз, пресекает любую подозрительную активность внутри системных узлов, а также предоставляет качественный функционал по редактированию и управлению всеми важными для сайта файлами.

virusdie.ru

Проверка сайта на вирусы | MnogoBlog

Здесь я расскажу с помощью каких онлайн-сервисов и плагинов можно узнать заражен ли ваш сайт?Скачать исходники для статьи можно ниже

Проверил нижеуказанными способами сайты своих комментаторов и обнаружил, что у 50% есть подозрения на вирусы.

Онлайн-сервисы проверки вашего сайта на вредоносный код (вирусы):

Для проверки ваших сайтов вводите url полностью, то есть: http://ваш сайт.ru

1. http://www.secbot.org/На этом сайте вы сможете не только проверить ваш сайт на вирусы большинства антивирусных компаний, найти подробные инструкции по удалению вредоносного кода и последствий взлома, но и обратиться к помощи специалистов.

2. http://2ip.ru/site-virus-scaner/

Сервис проверки сайта на вирусыСервис проверки сайта на вирусы

Здесь все просто, вводите url вашего сайта и нажимаете кнопку проверить.

Вот на скриншоте выше я проверил один сайт со взрослым контентом – как сами видите данный сайт с большой вероятностью содержит вредоносный код.

Если любая из трех строчек (параметров) выделена красным цветом, то ваш сайт скорее всего заражен.

Первая строчка: Подозрение на вирус- здесь покажут тип вредоносного кода.

Вторая строчка – здесь будет показано относит ли  поисковик Google ваш сайт к опасным или безопасным.

Третья строчка – здесь будет показано относит ли  поисковик Яндекс ваш сайт к опасным или безопасным.

Посещаемость данного ресурса говорит о многом – 2000000 посетителей в месяц и около 12000000 просмотров.

К тому же сервис обладает множеством других возможных тестов по анализу вашего сайта.

3. http://vms.drweb.com/online/ – онлайн-сервис от Доктора Веба.

Онлайн сервис DrWeb - проверка вашего сайта на вирусыОнлайн сервис DrWeb - проверка вашего сайта на вирусы

На открытой страничке нажимаем на “Проверить ссылку (URL)” и вводим url вашего сайта.

Причем проверил тот же сайт со взрослым контентом, который проверял  на 2ip.ru, DrWeb ответил, что сайт не содержит вирусов.

Все дело в том, что зачастую самих вирусов на сайте может не быть. Но в индексном файле сайта могут присутствовать iframe-вставки, имеющие вид [iframe]…[/iframe], внутри которых располагаются ссылки на зараженные сайты. Поскольку такие ссылки вирусами не являются, то при помощи сканирования антивирусами выявить их достаточно сложно.

4. http://antivirus-alarm.ru/proverka/

Онлан-сервис для проверки сайта на вирусыОнлан-сервис для проверки сайта на вирусы

При проверки все того же сайта со взрослым контентом, данный сервис указал на несколько сомнительных ссылок, которых Google считает подозрительными, а по антивирусным базам данный сайт оказался чистым, то есть не содержит вредоносного кода.

5. https://www.virustotal.com/#url – на английском языке. Причем иногда при проверки сайтов вылезает сообщения, что есть уже готовые недавно сделанные архивы проверки данного ресурса, которые можно просмотреть.

Все тот же ресурс со взрослым контентом и здесь оказался безвредным.

6. http://sitecheck.sucuri.net/scanner/ – тоже на английском.

Данный сервис проверяет следующее:

Блокирован ли ваш сайт или нет.Наличие вредоносных программ.Наличие вредоносных JavaScript.Наличие вредоносных плавающих фреймов.Наличие попутных загрузок.Наличие аномалий.Наличие атак на IE.Наличие подозрительных перенаправлений.Наличие спама.

Все тот же ресурс со взрослым контентом и здесь оказался безвредным.

Далее рассмотрим плагины для проверки на вредоносный код.

Плагины сканеры:

1. AntiVirus – выявляет в шаблонах темы подозрительный код.

После установки данного плагина (стандартная установка: Панель управления – Плагины – Добавить новый – в строке поиска забиваем AntiVirus – жмем найти – далее активизировать – установить) в панели управления вашим сайтом в пункте «Настройки» у Вас появится новый подпункт AntiVirus, заходим в него и видим:

антивирус для сайтаантивирус для сайта

В окошке “Завершено сканирование” находится просто ссылка на сайт автора.

В окошке “Настройка” возможна настройка на автоматическое ежедневное сканирование и оповещение по электронной почте о найденном потенциально опасном коде.

В окошке “Ручное сканирование” нажимаете на кнопку “Scan…”  и плагин начинает работать: изначально прямоугольники оранжевого цвета, но по мере обработки файлов вашего сайта они становятся либо зеленые – угрозы нет, либо красными – возможна угроза.

Антивирус для WordPressАнтивирус для WordPress

При проверки у меня выскочил красный прямоугольник (видно на скриншоте), в его заголовке написан путь к файлу, то есть у антивируса вызвал подозрения файл footer.php, а именно его 19 и 20 строчки (это тоже видно на скриншоте).

Как определить вирус это или нет?

Для этого вам достаточно сравнить ваш изначально скаченный шаблон с теперешним (типо зараженным шаблоном). В моем случае в изначальном шаблоне я открываю файл footer.php  и сравниваю его с теперешним, есть ли там такая строка и как именно она там написана, нет ли изменений. Если она точно такая же, как на Вашем сайте, то волноваться нет причин и следовательно нам нужно нажать на кнопку “Это не вирус”, чтобы при следующем сканировании данная ошибка не выводилась.

Если же изменения были, то удалите измененные строчки и поставьте в них как было в изначальном варианте шаблона. Если ошибка исчезнет, то хорошо, но если появиться опять те же измененные строчки, то у вас скорее всего вирус.

Также можете спросить об изменных строчках на различных форумах или забить их в поисковики.

Данный плагин мне очень понравился, советую вам тоже его поставить.

2. Exploit Scanner  – более тщательная, комплексная проверка, но для новичков может показаться достаточно сложной.

Даже сами разработчики WordPress рекомендуют проверять блог именно этим плагином.

Описание данного плагина от его создателя:

Этот плагин просматривает файлы и базы данных веб-сайта с целью определения  подозрительной активности. Он не остановит того, кто взломал Ваш сайт, но он может помочь Вам найти любой из загруженных или несущих угрозу файлов оставленных взломщиком.

При взломе сайта злоумышленники оставляют коды или модифицируют контент, что можно определить вручную, просматривая все файлы на сайте. Некоторые из методов, применяемые для скрытия своих скриптов или спам-ссылок общеизвестны такие, как использование CSS для сокрытия текста. И можно найти такие строки.

Базы данных тоже могут быть использованы для сокрытия контента или для запуска кода. Спам ссылки иногда добавляют в посты блога и в комментарии. Они скрыты с помощью CSS так, что пользователи их не видят, но поисковые движки замечают их. В последнее время злоумышленники стали использовать WordPress плагины для запуска своих  вредоносных кодов. Они загружают файлы с расширениями файлов изображений, и добавляют их в код активных плагинов. Поэтому, несмотря на то, что файл не имел расширение .PHP, код в них был еще в состоянии запускаться!

Этот плагин сканирует Ваш сайт и пытается найти эти измененные файлы и записи БД. Это далеко от совершенства, поэтому если у Вас есть предложения по улучшению плагина, я (автор) хотел бы их услышать!

Сканер вирусов WordPressСканер вирусов WordPress

Установка стандартная, наподобие AntiVirus, для того, чтобы сканер заработал нажимаем кнопку “Run the Scan”.

Обилие результатов, выданных плагином после сканирования может повергнуть в шок новичка, не знакомого с PHP. Как и с предыдущим плагином, далеко не все коды, на которые сделал стойку плагин, будут вредоносными.

Для того, чтобы выявить вирус это или нет, необходимо произвести сравнения подозрительных файлов с файлами из бэкапа  (копией базы данных или с файлами исходного шаблона), сделанного тогда, когда заражения не наблюдалось. Если разницы в файлах не наблюдается, то скорее всего код, предъявленный плагином Exploit Scanner, является полезным.

PS: Хотелось бы еще добавить к вышеуказанной статье, следующее:

1. Обращайте внимание на любые подозрительные моменты при открытии сайта (возможно всплывающие окна, открытие параллельно других сайтов при открытии вашего сайта и прочие действия, которые вы не создавали и не замечали ранее на своем сайте). Странное поведение – явный сигнал на то, что ваш сайт заражен.2. Следите за  появлением любых изменений, происходящих в ваше отсутствие, это может быть изменение файлов шаблона, базы данных или  появление новых файлов, таблиц, и если это происходит, то скорее всего ваш сайт заражен, об этом подробнее в моей следующей статье про безопасность.

mnogoblog.ru

что это, как проверить сайт и организовать защиту от его разных видов

Тематический трафик – альтернативный подход в продвижении бизнеса

Мы выпустили новую книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».

Подпишись на рассылку и получи книгу в подарок!

Вредоносный код - это код, который мешает нормальной работе сайта. Он может встраиваться в темы, базы данных, файлы и плагины.

Результатом работы вредоносного кода может стать удаление части полезного контента, или его публикация на стороннем ресурсе. Таким способом злоумышленники могут организовать кражу контента. Особенно обидно, если этому воздействию подвергся молодой ресурс с авторскими статьями. Может сложиться впечатление что это он своровал контент у более старшего ресурса.

Также вредоносный код может разместить в бесплатной теме скрытые ссылки на сторонние страницы, доступные для поисковиков. Не всегда эти ссылки будут вредоносны, но вес основного сайта гарантированно пострадает.

Общее назначение всех вредоносных кодов сводится к нарушению работы веб-страниц.

Внешне вредоносный код представляет собой хаотичный набор символов. В действительности за этой бессмыслицей скрывается зашифрованный код, содержащий последовательность команд.

Как вредоносный код попадает на сайт

Есть два способа, как на сайт может попасть вредоносный код.

1. Скачивание файлов и плагинов с сомнительных и ненадежных ресурсов. Чаще всего таким способам на сайт проникают зашифрованные ссылки. Явный код редко проникает на сайт этим путем.

2. Взлом сайта с последующим проникновением вируса. Этот способ считается более опасным, ведь взлом веб-страницы дает возможность передать не только "одноразовый" код, но и целые конструкции с элементами вредоносной программы (malware).

Такой код очень тяжело уничтожить, т.к. он может восстанавливаться после удаления.

Проверка сайта на вредоносный код

Следует помнить, что эти коварные конструкции могут появиться не только в активной теме, но и в любом файле ресурса. Существует несколько способов их поиска:

  • Вручную. Для этого нужно сравнить содержимое всех актуальных файлов с незараженными версиями бэкапа. Все что отличается необходимо удалить.
  • С помощью плагинов безопасности. В частности WordPress предлагает плагин Wordfence Security. У него есть опция сканирования файлов страницы на содержание постороннего кода.
  • С помощью саппорта хостинга. Владелец сайта имеет право обратиться к ним с просьбой просканировать ресурс своим антивирусом. В результате они предоставят отчет, отражающий наличие зараженных файлов. Эти файлы можно очистить от посторонних конструкций с помощью обычного текстового редактора.
  • Через SSH-доступ к сайту. Сам поиск осуществляется с помощью команд:

find /текущий каталог страницы -type f -iname "*" -exek -'eval' {} \; > ./eval.log

find /текущий каталог страницы -type f -iname "*" -exek-'base64' {} \; > ./base64.log

find /текущий каталог страницы -type f -iname "*" -exek -'file_get_contents' {} \; > ./file_get_contents.log

В результате их выполнения будет получена информация о подозрительных файлах. Перечень этих файлов запишется в лог, хранящийся в текущей директории.

  • Проверка сайта на вредоносный код с помощью функции eval. Эта php-функция запускает на выполнение любой, даже зашифрованный код. В качестве одного из аргументов, на вход этой функции подается тип кодировки (как правило это base64_decode или str_rot13). Именно благодаря использованию популярных кодировок вредоносный код выглядит как бессмысленный набор латинских символов.

- Открываете редактор страницы.

- Копируете в буфер содержимое файла functions.php.

- Вставляете его в любой текстовый редактор (блокнот).

- Находите команду eval.

  • Перед тем, как удалить вредоносный код, проанализируйте, какие параметры функция ожидает на вход. Т.к. параметры поступают в зашифрованном виде, их нужно расшифровать с помощью декодеков. Распознав входной параметр, вы можете принять решение о его дальнейшем нахождении в тексте файла functions.php.

Удаление вредоносного кода

После обнаружения вредоносного кода его просто необходимо удалить как обычную строку в текстовом файле.

Защита от вредоносного кода

Для того, чтобы предупредить появление вредоносного кода на сайте, необходимо соблюдать ряд профилактических мер.

Используйте только проверенное ПО:

  • Загружайте дистрибутивы только из надежных источников.
  • Во время запускайте обновление серверного ПО.
  • Совершайте регулярный аудит системы безопасности сервера.
  • Удаляйте устаревшие отладочные скрипты.

Ставьте на серверное ПО надежные пароли:

  • Придумайте конструкцию из 12 символов, включающую цифры и буквы разных регистров.
  • Для каждого из сервисов придумайте свой уникальный пароль.
  • Меняйте свои пароли раз в 3 месяца.

Осуществляйте контроль данных, вводимых пользователями:

  • Настройте фильтры HTML-разметки в полях ввода, содержимое которых попадет в код страницы.
  • Организуйте серверную проверку входных данных на соответствие допустимому интервалу.
  • Используйте WAF. Web Application Firewall - это мощный инструмент защиты сайта от хакерских атак.

Разграничивайте права доступа к своему ресурсу.

Заблокируйте или ограничьте доступ к инструментам администрирования движка вашего сайта и его баз данных. Кроме того, закройте доступ к файлам настроек и резервным копиям рабочего кода.

Такому проникновению вредоносного кода наиболее подвержены те сайты, на которых реализована возможность загрузки пользовательских файлов.

1. Организуйте защиту от ботов. Для этих целей многие CMS оснащены специальными плагинами;

2. Настройте проверку вводимых пользователями данных:

  • Запретите вставку JavaScript-кода внутри конструкции t>.
  • Ведите перечень безопасных HTML-тегов и отсеивайте конструкции, не вошедшие в этот список.
  • Анализируйте ссылки, которые присылают пользователи.
  • Для этого существуют специальные сервисы, например Safe Browsing API. Он позволяет проверить безопасность документа по URL.

Как предупредить случайное размещение вредоносного кода.

  • Тщательно следите за используемым ПО:

- Загружайте библиотеки и расширения CMS только с проверенных источников, а лучше всего с официальных сайтов.

- Изучайте код нестандартных расширений, которые вы собираетесь поставить на движок своего сайта.

  • Размещайте рекламу очень осторожно:

- Публикуйте на своей площадке объявления, которые предлагают только надежные рекламодатели.

- Старайтесь размещать на своей странице статический контент.

- Остерегайтесь партнерских программ со скрытыми блоками.

semantica.in

Находим и удаляем вредоносный код на сайте WordPress » Мистерия онлайна

Периодическая проверка сайта на наличие вредоносных вирусов необходима, это первая заповедь любого уважающего себя веб-мастера. Даже если вы пользуетесь чистой темой Twenty Eleven, то не факт, что со временем она тоже не заразилась. Такое явление может происходить (и чаще всего происходит) из-за того, что сам движок WordPress предназначен изначально для публикаций он-лайн. Так что лишний раз провериться и сделать копию сайта и базы данных никогда не помешает.

вредоносный код wordpress

вредоносный код wordpress

Например, я (по прошествии какого-то времени, конечно) сделал для себя один вывод – нужен просто хороший хостер, и ваши проблемы с резервированием отпадут сами собой. Мне не нужно сейчас делать бекапы БД или сайта – все делает за меня хостер, причем в автоматическом режиме. В любое время при желании можно заказать копию любого раздела своего блога (и не только), скачать эту копию, или же восстановить блог прямо из панели управления. То есть, мне не нужно скачивать бекап, все происходит на автомате – резервирование, восстановление и т.д. Это удобно тем, что я могу не то что посуточно, а по часам отследить, когда на моем блоге появился вирус и, соответственно, принять меры по его устранению.

Ну, а для тем, кто так не делает, или у кого хостер не предоставляет такие возможности, есть масса способов не только определить наличие вредоносного кода в файлах сайта, но и узнать место, где он находится, а также получить рекомендации к его уничтожению или деактивации. В свое время я перепробовал на этом поприще несколько плагинов и он-лайн сервисов, так что есть чем поделиться – и хорошим опытом, и негативным.

Начну с хорошей новости – по крайней мере, два плагина, которыми я пользовался, выдают хорошие результаты по обнаружению и локализации вредоносного кода. Это плагины AntiVirus и Exploit Scanner. Вы не поверите, сколько на вашем блоге вредного кода! Но не принимайте всю результирующую информацию после проверки за догму – много строк, которые эти плагины обнаруживают, на самом деле ничего плохого в себе не несут. Просто плагин ставит под сомнение какие-то строки, вот и все. Чтобы убедиться в этом, проверьте вручную те фрагменты, которые плагин определил, как вредоносные. Так, при проверке плагином AntiVirus оказалось, что даже простое обращение function get_cache_file () плагин уже считает подозрительным. Так что все результаты проверок придется отслеживать вручную. А вот это, например, действительно зараженная ссылка, и ее необходимо убирать:

вредоносный код wordpress

вредоносный код wordpress

Как узнать, вирус это или так и должно быть? Все очень просто – сравниваете ваш чистый шаблон (если есть), и сравниваете его (пофайлово) с тем, который установлен и уже претерпел какие-то изменения. Необязательно прямо так буквально проводить сравнение, просто поиском проверьте, есть ли в вашем чистом шаблоне та строка, которую выделил плагин. Если есть – жмите кнопку «Это не вирус», и при следующей проверке эта строка не будет учитываться.

А вот пример второго опробованного плагина — Exploit Scanner

вредоносный код wordpress

вредоносный код wordpress

Как видите, здесь все гораздо запущеннее. Для меня такой результат был шокирующим. Но и это еще не все. В плагине существует такая функция, как проверка CSS кода. Так вот, если ее включить, то получится, что блог должен состоять из текста и максимум, из пары CSS таблиц. Так что, мне кажется, с безопасностью здесь автор плагина явно перестарался. Хорошо еще, что плагин просто показывает предполагаемые зараженные фрагменты, а не чистит их.

Проанализировав все выделенные желтым цветом строки, вы легко обнаружите malware (вредоносный код), ну, а что с ним делать дальше – решайте сами. Способ чистки все тот же – сравниваете выделенный код с бекапом сайта (см. Как бекапить WordPress на Google Drive) и, если нашли расхождения – выявляйте, то ли это сделали вы сами, то ли кто-то за вас, а значит, это уже не есть хорошо и может оказаться вирусом. Даже разработчики WordPress советуют проводить проверку сайта на наличие вредоносного кода именно этим плагином. Но существуют такие безобидные вставки, например, в тело iframe, которые плагин тоже может определить, как зараженный код. Но на самом деле без этих строк этот участок вашего блога не будет работать правильно.

Как вообще malware может попасть в файлы блога и что это такое по определению? Слово malware значит буквально — злонамеренное программное обеспечение, от английского malicious software. Это любой софт, который может быть использован для несанкционированного доступа к сайту и его содержимому. Вы, наверное, представляете себе, что для подготовленного по-среднему хакера взломать сайт не составит труда, особенно после регистрации. После этого можно контент блога модифицировать как угодно – было бы образование.

Вредоносный malware можно вставить и в плагины, которые вы устанавливаете из неизвестного источника, и в скрипты, которые вы также иногда берете, не проверив, а доверившись автору. Самый безобидный malware – это ссылка на автора какого-либо модуля, который вы установили на сайт. И если автор сам не предупредил вас о том, что такая ссылка существует, то это уже чистой воды вирус.

Так, я устанавливал на тестовом блоге новую тему, и после удаления одной безобидной ссылочки на какой-то там мужской клуб в подвале сайта, он перестал вообще открываться, а на главной появилась надпись – «Вы не имеете права удалять ссылки». Вот тебе и бесплатная тема. О том, как выдирать такие левые ссылки, можете почитать здесь.

Ваша БД тоже может быть использована для запуска вирусосодержащего кода. Спамерские ссылки тоже очень часто добавляются в записи или комментарии. Такие ссылки обычно скрываются при помощи CSS так, что неопытный администратор их не видит, но поисковая система их различает сразу. Конечно, здесь уже вступает в борьбу любой антиспам, например, тот же Akismet, который лицензирован, проверен и перепроверен много раз. Хакер может загружать файлы с расширениями файлов изображений, и добавлять их в код ваших активированных плагинов. Поэтому, даже если файл и не имеет расширение php, код в этом файле может быть запущен в действие.

Есть еще один простенький инструмент, с которого я начинал знакомство с malware – плагин Theme Authenticity Checker (TAC). Это легкий и достаточно действенный инструмент, но он проверяет только ваши темы, причем даже неактивные. Остальные директории он не трогает, и в этом его минус. Вот что дала мне проверка моей текущей темы этим плагином:

вредоносный код wordpress

вредоносный код wordpress

Два предупреждения в активной теме, и больше ничего. Вредоносного кода нет. Кстати, это те ссылки, которые я вставил сам по совету Google — для улучшения качества сниппета (вывод личных данных, адрес организации и т.д.). Но это только проверка файлов темы, а что делается в других директориях, вам придется узнавать или при помощи других плагинов, или он-лайн сервисами. Например, такой сервис (уж он-то заслуживает доверия), как Вебмастер Яндекса или аналогичный в Google. Они имеют функцию проверки любого веб-ресурса на наличие вредоносных вкраплений, и делают это качественно. Но если вам и этого мало, то сравнивайте результаты с результатами на других сервисах и делайте выводы.

вредоносный код wordpress

вредоносный код wordpress

Почему-то хочется верить Яндексу, а не плагинам. Еще один неплохой ресурс — http://2ip.ru/site-virus-scaner/. После проверки одного своего блога здесь вот что обнаружилось:

вредоносный код wordpress

вредоносный код wordpress

Здесь же вы можете проверить и отдельные файлы на наличие вредоносного кода, если у вас закрались такие сомнения. В общем, сервис неплохой.

Из всего сказанного я бы сделал такие выводы:

1. Чтобы не допустить появления вредоносного кода, нужно прежде всего пользоваться проверенными сервисами для закачки файлов – плагинов, тем и т.д.

2. Регулярно делать резервные копии всего, что содержит сайт – базы данных, контента, админпанели, закачанных сторонних файлов в том числе.

3. Пользоваться обновлениями, которые предлагает WordPress. Они, по крайней мере, не содержат вирусов, хотя и не всегда функционально оправданы. Но обновившись, вы тем самым удаляете возможно присутствующие вирусы.

4. Неиспользуемые темы, плагины, изображения и файлы удаляйте без сожаления – это еще один запасной вход для malware, о котором вы можете и не догадаться никогда.

5. Хорошенько запарольте свои FTP–доступы, вход в PhpAdmin, в панель администратора и вообще туда, куда никто, кроме вас, не должен иметь доступа.

6. Постарайтесь (даже если это желание у вас огромное, как небо) не изменять и не заменять файлы ядра WordPress – разработчики лучше знают, что и как должно работать.

7. После обнаружения и удаления вирусов поменяйте все пароли. Я думаю, у вас появится огромное желание сделать пароль из 148 символов в разных регистрах и со спецсимволами. Но не увлекайтесь слишком сложными паролями, можете потерять его, и тогда придется все восстанавливать, что не очень приятно.

Все эти методы и компоненты, которые я описал, и которые помогут вам избавиться от вирусов, конечно, бесплатные, конечно, почти самодельные, и конечно, не дают 100% гарантии того, что ваш сайт будет очищен от вредоносных вставок. Поэтому, если уж вы озаботились чисткой блога, то лучше обратитесь к профессионалам, например, в сервис Sucuri (http://sucuri.net/). Здесь ваш сайт хорошенько отмониторят, дадут практические рекомендации, которые вам вышлют письмом, а если вы не хотите заниматься чистой сайта самостоятельно, то к вашим услугам специалисты, которые в течение 4 часов сделают все в лучшем виде:

вредоносный код wordpress

вредоносный код wordpress

Ну, вот как-то так выглядит мой тестовый блог после мониторинга, и это при том, что другие методы (доморощенные) всегда показывают разные результаты. Как видите, тест бесплатный, но в случае обнаружения вирусов вам стоит заплатить за их устранение без вреда для сайта (если вы, конечно, не гуру по очистке блога от malware).

Еще раз подчеркну – хакеры не дремлют, модернизация вирусов происходит постоянно, и самостоятельно за всем уследить невозможно. Все нововведения настолько тщательно скрываются и маскируются, что выявить их может только команда! профессионалов, а не блогер-самоучка, которыми многие являются. Поэтому ручное обнаружение и удаление malware так малоэффективно: нет опыта – нет результата, зато есть вирус. Используйте лицензионные программы и доверьте устранение опасности профессионалам ;)

;)

Вконтакте

Facebook

Twitter

Google+

Понравилась запись? Подпишитесь на обновления по почте:

Twitter

Facebook

Читайте похожие статьи

max1net.com

Поиск и удаление вредоносного кода на сайте - Vervekin.Ru

О том, что сайт заражен, вебмастер узнает не всегда сразу, и не всегда – самостоятельно. Эту неприятную новость ему могут сообщить как посетители сайта, так и поисковые системы. Однако, не обязательно вредоносный код может оказаться опасным для посетителей. Распространенный случай использования java-скриптов – скрытое внедрение в код сайта «левых» ссылок, ведущих на сторонние ресурсы. Зачастую подобный код в шаблоне WordPress не удается обнаружить ни с помощью широко используемого плагина TAC, ни с помощью других подобных ему плагинов.

Как удалить ссылки в шаблоне WordPress от NewWpThemes я уже писал. Настало время разобраться с общим случаем «заболевания». Тем более, что подвернулся случай – мой блог с установленным по умолчанию шаблоном из паблика стал работать подозрительно медленно. Доходило до того, что перехода с одной внутренней страницы блога на другую приходилось ожидать по десять и более секунд, а процесс добавления записи просто превратился в мучения.

Так получилось, что подобные изменения в работе сайта были замечены мной после переноса хостером базы данных и файлов сайта на другой сервер. Техподдержка моего хостера (Majordomo) пошла мне на встречу и перенесла сайт в другое место еще раз, но ситуация не улучшилась. При этом ребята из техподдержки посоветовали просканировать сайт инструментом поиска вредоносного кода от сервиса AI-BOLIT.

ai-bolit-poisk-vredonosnogo-koda-01

А поскольку другой уважаемый онлайн-сервис (ahrefs.com) показал несколько подозрительных исходящих ссылок (пункт меню Исходящие ссылки – Ссылается на домены), которых на сайте быть не должно, я решил воспользоваться предложенным сканером, благо он бесплатный. О том, как найти вредоносный код на сайте с помощью AI-Bolit, и пойдет речь в этой статье.

Собственную последовательность действий изложу пошагово, для простоты восприятия. Но вначале – несколько слов о самом инструменте. Сканер AI-Bolit – обновляемый и развивающийся инструмент поиска вирусов, хакерских и вредоносных скриптов как на живом сайте (в папке хостинга), так и в скачанной на жесткий диск копии сайта. Создатели сканера утверждают, что его способности превосходят способности обычных антивирусов и сканеров. Работает AI-Bolit со всеми CMS, умеет определять файлы дорвеев, искать и находить код ссылочных бирж, редиректы и невидимые ссылки. С полным списком возможностей можно ознакомиться здесь, он реально впечатляет.

ai-bolit-poisk-vredonosnogo-koda-02

Итак, AI-Bolit — инструкция:

Теперь – о том, как пользоваться AI-Bolit на конкретном примере.

1. Скачиваем через FTP сайт на жесткий диск компьютера. Чем короче путь, тем лучше, пусть это будет папка в корне C:\mysite, следует также избегать наименований на кириллице, хотя с ними сканер тоже работает.

2. Для работы со сканером также понадобится php сборка под Windows – для выполнения скрипта. Скачиваем ее отсюда (именно эту версию рекомендует разработчик сканера) и устанавливаем ее в папку C:\PHP.

3. Скачиваем в любую папку на компьютере сам сканер в виде архива ai-bolit.zip, ссылка доступна с главной страницы онлайн-сервиса, периодически меняется, поэтому прямой ссылки не даю.

4. Распаковываем архив со скриптом и копируем из папки ai-bolit в корень папки с нашим сайтом 3 файла: ai-bolit.php, файл .aignore и файл .aurlignore. Если известна версия CMS, с которой работает ваш сайт, необходимо туда же скопировать из папки known_files сканера соответствующий файл.

5. Выставляем режим сканирования. В файле ai-bolit.php предусмотрено три варианта:

  • define(‘AI_EXPERT’, 0) – экспресс-сканирование (не рекомендуется)
  • define(‘AI_EXPERT’, 1) – экспертный режим (включен по умолчанию)
  • define(‘AI_EXPERT’, 2) – параноидальный режим сканирования.

Выставив в файле нужное значение, помните, что в параноидальном режиме возможны ложные срабатывания, в каждом конкретном случае надо будет разбираться.

6. Запускаем из папки со скопированным на диск сайтом файл ai-bolit.php через щелчок на нем правой кнопкой мыши и выбора строки Открыть с помощью – CLI. Если компонент CLI не доступен в меню, указываем на файл php.exe через диалог выбора программы для открытия файла. В дальнейшем ai-bolit.php будет запускаться просто по двойному щелчку мыши.

ai-bolit-poisk-vredonosnogo-koda-05

Запустившийся в черном DOS-окне процесс сканирования можно свернуть на панель задач и на некоторое время забыть о нем, т.к. поиск уязвимостей на сайте – процесс не быстрый. В моем случае (сайт на движке WordPress не более чем с полусотней записей и объемом 120 Мб понадобилось семь с половиной часов непрерывной работы.

ai-bolit-poisk-vredonosnogo-koda-06

По завершении сканирования окно с программой самостоятельно сворачивается, в папке с сайтом создается файл отчета AI-BOLIT-REPORT-дата-время.html, здесь же появляется и еще один файл AI-BOLIT-DOUBLECHECK.php со списком файлов с обнаруженными уязвимостями – для повторной проверки после исправления проблем.

ai-bolit-poisk-vredonosnogo-koda-03

7. Анализ файла отчета. Внимательно изучаем найденный на сайте вредоносный код. Для этого не нужно быть программистом, просто необходимо понять, что и с каким файлом из помеченных как опасные следует сделать.

ai-bolit-poisk-vredonosnogo-koda-04

Я действовал следующим способом. Если отмеченный файл относился к системе WordPress или установленному шаблону, убирал найденный код вручную правкой файлов в Notepad++. Если решитесь на это, обязательно сохраняйте копии файлов до внесения правок, и проверяйте работоспособность каждого исправленного файла на работающем сайте. Не стоит забывать и о вероятности ложного срабатывания сканера, чтобы под горячую руку в корзину не попали и вполне безопасные файлы.

Если файл с подозрительным кодом принадлежал плагину, без которого сайт вполне мог обойтись, я безжалостно удалял его. Все необходимые плагины подвергались замене скачанным из репозитория WordPress их обновленным версиям. Вредоносный код может оказаться даже в файлах картинок, как это видно на скриншоте. Даже если сканер перестарался и сработал ошибочно, подобные файлы лучше все-таки заменить на другие или с помощью Notepad++ отредактировать их, удалив несколько показавшихся сканеру подозрительных символов.

8. Повторная проверка, использующая файл AI-BOLIT-DOUBLECHECK.php. Если нужно провести полную проверку сайта заново, следует удалить этот файл из папки с сайтом, но в случае с локальной проверкой сайта смысла в этом нет. AI-BOLIT-DOUBLECHECK.php позволяет сократить повторный и последующие, после исправления кода, проходы к проверке именно тех файлов, которые изначально были признаны потенциально опасными.

9. Замена найденных скриптом файлов на сервере их исправленными вариантами. Делается это вручную, пофайлово, через FTP. Удобно при этом пользоваться каким-либо FTP-менеджером, например, FileZilla. Я по старой привычке использую для этой цели Total Commander.

10. Наслаждаемся работающим сайтом без посторонних вредоносных скриптов и ссылок. Не забываем периодически проверять его AI-Bolit’ом.

Надеюсь эта подробная инструкция AI-Bolit поможет в обнаружении и удалении с вашего сайта вредоносного кода. Об опыте успешного лечения зараженного сайта пишите в комментариях.

 

Расскажите об этой статье в соцсетях:

vervekin.ru

Как удалить вредоносный код с сайта

virus Каждый вебмастер обнаружив вредоносный код на своем сайте,  получает массу не очень приятных впечатлений. Владелец сайта сразу же, в панике пытается найти и уничтожить вирус, и понять каким же образом эта гадость могла попасть на его сайт. Но как показывает практика, найти вредоносный код на сайте не так уж и просто. Ведь вирус может прописаться в один или в несколько файлов, из огромного количества которых состоит сайт, будь то движок работающий на вордпрессе или обычный сайт на html.

Вчера, проверяя свою почту, я обнаружил письмо от Google, о том что посещение определенных страниц моего сайта может привести к заражению компьютеров пользователей вредоносными программами. Теперь пользователям, переходящим на эти страницы по ссылкам в результатах поиска Google.ru, отображается страница с предупреждением. Этот сайт не был добавлен мной в панель вебмастера Google, поэтому я был оповещен по почте. В панели вебмастера у меня находилось еще несколько сайтов, зайдя туда я в ужасе увидел предупреждение о вредоносном коде еще на двух своих сайтах.В итоге, на трех моих сайтах поселился вредоносный код, который мне предстояло найти и уничтожить. Один из сайтов работал на вордпрессе, другие два состояли из обычных php страниц.

Стоит заметить, что Google среагировал гораздо быстрее Яндекса на наличие вредоносного кода. В панели вебмастера Яндекса, предупреждение о наличии вируса на сайте так и не появилось. Благо, в течении нескольких часов я успел найти этот злосчастный вирус.

Как правило, чаще всего сайты заражает так называемый iframe-вирус. По сути, этот вирус состоит из кода <iframe>….</iframe>. Вирус ворует все пароли с Total Commander или другого ftp-клиента. В моем случае, произошло тоже самое, код iframe прописался в нескольких десятках файлов на моем сайте. На сайте, который работал на вордпрессе, вредоносный код успел обосноваться лишь в footer.php.

И так, как найти вредоносный код, если Вы обнаружили что Ваш сайт заражен:

1. Заходим в панель управления хостингом и меняем пароль. Елси у Вас несколько сайтов, то проделываем это со всеми своими сайтами.

2. Меняем и удаляем пароли в ftp-клиенте. Больше никогда не храним пароли в ftp-клиентах, всегда вводим их вручную.

3. Можно зайти на хостинг по ftp, и посмотреть что изменилось в Ваших файлах. Отсортируйте файлы по дате последнего изменения. У тех файлов, которые заражены, дата должна быть свежая и одинаковая. Откройте эти файлы и ищите код iframe, как правило этот код располагается в самом конце. В основном, вредоносный код прописывается в файлах: index.php, index.html, в файлах с расширением .js. Нередко, эта зараза проживает между тегами <script>…</script>.Для самописных сайтов, очень внимательно просмотрите все файлы и папки скриптов, вирус частенько прописывается именно там. Так же, излюбленное место обитания этого вируса, в кодах счетчиков для сайта, и в рекламных кодах.

4. Проверьте файл .htaccess на наличие подозрительного кода. Иногда вредоносный код проникает и в этот файл. Обычно в файлах движка существует несколько директорий, в которых может находиться файл .htaccess. Проверьте все эти файлы и убедитесь в «чистоте» кода.

Что касается файлов вордпресса или другой CMS, как правило любая CMS состоит из множество файлов и папок, и найти в них вредоносный код очень сложно. Например, для вордпресса могу порекомендовать плагин TAC. Этот плагин проверяет файлы во всех темах в папке themes на наличие стороннего кода. Если TAC найдет не желательный код, то покажет путь к этому файлу. Таким образом, можно вычислить и маскирующийся вирус.Скачать плагин TAC: wordpress.org

Вообще, стоит постоянно держать в памяти все действия, которые Вы производили со своими файлами сайта. Помнить, что меняли или добавляли в тот или иной код.

Когда найдете и удалите вредоносный код, то не помешает проверить свой компьютер на наличие вирусов.И если Ваш сайт был помечен Гуглом или Яндксом как зараженный, то через панель вебмастера надо отправить запрос на повторную проверку. Как правило, в течении суток все ограничения с Вашего сайта поисковики должны убрать. Мой запрос на повторную проверку Гугл обрабатывал не долго, и через несколько часов с моих сайтов были сняты все ограничения.

Еще по теме:

Буду очень признателен если добавите эту страницу в свою социалку:

vdblog.ru