Как удалить вредоносный код на блоге
Опубликовано: 02.09.2018
На днях столкнулся с очень неприятной ситуацией. На моём блоге, на вот этом самом, завёлся вредоносный код. Обнаружил я это дело совершенно случайно, ибо блог продолжал нормально функционировать и никаких изменений не ощущалось ровно до тех пор, пока я не попробовал зайти не блог при помощи так нелюбимого мной браузера Internet Explorer.
Вирусы Wordpress. Как проверить тему Вордпресс на вредоносный код.
Надо сказать, что и дома, и на работе я использую FireFox и Google Chrome - быстрые, легкие, легко расширяемые... Но в силу специфики своей деятельности держу еще и IE, и Opera, и даже SeaMonkey где-то завалялся.
Так вот, сначала сюрприз мне преподнёс IE, а после того, как я стал проверять отображение блога в остальных браузерах, к нему присоединилась и Opera.
Плагин Theme Authenticity Checker (TAC) для wordpress - как найти вирусы на блоге!
В этих двух браузерах вообще не отображались никакие картинки и отсутствовало всякое стилевое оформление. Во всех других было все нормально. Первой мыслью было, что что-то сбилось в настройках браузеров... но сразу в двух? Да и копия блога на локальном сервере выглядела в них идеально.
Начал искать и причину нашёл довольно быстро, достаточно было из-под того-же IE посмотреть исходный код страницы...
И я увидел, что перед спецификацией <!DOCTYPE html...
стоит что-то такое: <iframe src=”http://google.com” width=”1” height=”1”></iframe>
Все это выглядело примерно так:
<iframe src=”http://google.com” width=”1” height=”1”></iframe><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" lang="ru-RU">Теперь стало понятно почему IE, и Opera не могли нормально прочитать блог - для них объявление DOCTYPE в самом начале страницы обязательно. Но это совсем не прояснило как такая вставка кода попала ко мне, а главное - как теперь найти её источник и обезвредить.
Ясно было одно - где-то сидит вирус, который надо срочно уничтожить. Но где? Дело осложнялось тем, что вставка этого кода могла быть и закодирована некоей абракадаброй с использованием, например, base64...
Поиск решения проблемы
Пересмотрел коды шаблона - ничего. По очереди отключал плагины, заглядывал в их коды - ничего...
Ни в index.php, ни в других файлах ничего лишнего не обнаружил.
Заново обновил блог из админки, типа переустановил - не помогло. Пересмотрел кучу интернет-ресурсов по теме, запускал различные онлайн-сервисы по проверке сайта, такие как 2ip , antivirus-alarm, sucuri.net ... Последний, кстати, показал, что где-то у меня сидит этот самый <iframe>, но только уже как результат работы вируса и не смог определить в каком файле сам вирус.
Кроме того, через панель вебмастера в яндексе и гугле тоже можно проверить сайт на вредоносный код, но оба поисковика заявили, что мой блог чист и не содержит ничего подозрительного. Позже я понял почему так, но об этом чуть ниже.
Некоторые авторы предлагали скачать программу SiteVerify, позиционируя её, как программу для выявления вредоносного кода на сайте, например вот тут... Увы и ах! Эта программа предназначена всего лишь для выявления битых ссылок.
Ни один из предложенных в глобальной сети способов мне не помог. И что мне было делать?
И тогда я сделал то, что должен был сделать с самого начала... Как Вы думаете, что? Правильно, пошёл покурить... ???? Шутка... Я зашел в админ-панель, но не WordPress, а хостинга. По счастью это была cPanel. Почему по счастью? Да потому, что на другом хостинге у меня Parallels Plesk Panel и она не предоставляет возможности, о которой я сейчас расскажу.
И вот оно решение
cPanel предоставляет такое замечательное приложение, как антивирусная программа!
Запускаем, выбираем сканировать общее веб-пространство.
И результат не заставил себя ждать!
Стало понятно, почему ни гугл, ни яндекс, ни другие не смогли ничего у меня выявить - дело в том, что блог у меня как субдомен. То есть в подпапке, а вирус сидел в самом корне...
Заодно нашлось и много вирусов на моем-же соседнем субдомене, на другом сайте...
После окончания проверки программа предложила выбор что сделать с найденными завирусованными файлами - уничтожить или отправить в карантин.
Я выбрал "Уничтожить" и вот, что получил в результате:
Все завирусованные файлы были успешно удалены. Я ещё для верности через FileZilla заглянул по этим адресам - действительно удалены.
Честно говоря, может быть этого было и достаточно, но я всё-же решил сделать ещё один шаг, а для тех у кого нет возможности зайти в панель хостинга или его панель не предоставляет антивирусную программу, этот шаг может быть решением проблемы.
Зачистка... Тоже может стать решением
Для меня-же это был как контрольный выстрел в голову.
Используя упомянутую уже FileZilla я начисто снес весь свой блог!
Но не просто так. Сначала выполнил некоторые действия:
При помощи встроенных инструментов WordPress сделал экспорт всего содержимого в xml-файл, который сохранил на компьютере. Поскольку я теперь был уверен, что в плагинах у меня ничего вредоносного нет, полностью скопировал папку plugins из wp-content на компьютер. Таким-же образом из той-же папки wp-content перенёс на компьютер папку папку uploads - это важно потому, что в ней хранятся все изображения блога и другие загруженные на блог файлы. Я много чего добавлял и менял в стилях своего шаблона, а так-же в его исполняемых php-файлах, поэтому не раздумывая из wp-content/themes целиком всю папку своего шаблона на компьютер. Используя phpMyAdmin хостинга удалил все таблицы из базы WordPress, осталась только сама база пустая. Чтобы потом не вспоминать все настройки, из корневой папки WordPress файл wp-config.php - на компьютер.И вот только теперь, при помощи FileZilla , я удалил всё содержимое папки своего блога с сервера.
Затем скачал свежий дистрибутив с ru.wordpress.org и залив его на сервер установил, что называется, с нуля. При этом мне не пришлось вспоминать параметры подключения к базам, так-как все данные я просто посмотрел в сохранённом ранее wp-config.php.
После чего вернул на место (закачал на сервер) все папки:
Шаблон - в wp-content/themes. Папки uploads и plugins - в wp-content. При помощи встроенных инструментов WordPress сделал импорт всего содержимого из сохранённого xml-файла. Активировал свой шаблон.Вот собственно и все. Плагины оказались уже активированными, так, что мне не пришлось ничего там менять.
Единственное, что понадобилось - это восстановить одну настройку в параметрах блога в разделе постоянные ссылки, а именно:
Потому, что без этого никак не получалось перейти с главной страницы на какую-либо запись. Браузер выдавал, что такой страницы нет.
Но, впрочим, это зависит от изначальной настройки, так, что вполне возможно, что кому-то не понадобиться делать и этого.
Надо сказать, что даже все мои виджеты оказались на своих местах, так, что и тут ничего настраивать не пришлось.
По итогу - все записи и страницы на месте, блог полностью работоспособен и там нет никакого вредоносного кода.
На всё-про всё, начиная с момента полного удаления блога у меня ушло не более получаса, включая возню с копированием туда-сюда папок.
Резюмируем всё вышесказанное:
Антивирусные онлайн сервисы могут не обнаружить вирус на блоге, если блог, как в моём случае, размещён в подпапке (субдомене) основного домена. Надо просто периодически сканировать весь домен.
Заражение сайта вирусом, подобно тому, что был у меня (iframe-virus), зачастую происходит через локальный компьютер. Вирус попросту ворует логины и пароли с различных ftp-клиентов, отсылает их на некие адреса, откуда потом специальные программы и заражают сайты. Поэтому желательно не хранить пароли в ftp-клиентах. И при любом подозрении - меняйте пароли!
Не все методы и способы борьбы с вредоносным кодом, описанные в Сети действенные. Они лишь описывают либо чей-то опыт, либо общие правила. Но у каждого может сложиться своя исключительная ситуация. Поэтому, если уж случилась такая беда, пробуйте разные варианты. Не поможет один рецепт, выручит другой. Именно с этой целью я и изложил свой личный опыт - может быть кого-то выручит и он.
Желаю Вам удачи и безвирусного блогинга!