Как да намерите злонамерен код и скрити връзки в шаблон. Как да премахнете вирус или злонамерен код от WordPress

Необходима е периодична проверка на сайта за злонамерени вируси, това е първата заповед на всеки уважаващ себе си уебмастър. Дори и да използвате чиста тема Twenty Eleven, не е факт, че с течение на времето тя също не се е заразила. Това явление може да възникне (и най -често се случва) поради факта, че самият двигател на WordPress първоначално е бил предназначен за онлайн публикуване. Така че никога не боли да проверите отново и да направите копие на сайта и базата данни.

Например, аз (след известно време, разбира се) направих едно заключение за себе си - просто се нуждаете от добър хостер и вашите проблеми с резервацията ще изчезнат сами. Не е необходимо да правя резервни копия на базата данни или уебсайт сега - хостерът прави всичко вместо мен и в автоматичен режим. По всяко време, ако желаете, можете да поръчате копие на всеки раздел от вашия блог (и не само), да изтеглите това копие или да възстановите блога директно от контролния панел. Тоест, не е нужно да изтеглям резервно копие, всичко се случва автоматично - архивиране, възстановяване и т.н. Това е удобно, защото мога не само през деня, но и по часове, да проследя кога се е появил вирус в блога ми и съответно да взема мерки за премахването му.

Като начало добрата новина е, че поне два плъгина, които съм използвал, дават добри резултати при откриване и локализиране на зловреден код. Това са приставки AntiVirus и Exploit Scanner. Няма да повярвате колко вреден код има във вашия блог! Но не вземайте цялата получена информация след проверка за догма - много редове, които тези приставки намират, всъщност не носят нищо лошо в себе си. Просто приставката поставя под въпрос някои редове, това е всичко. За да проверите това, проверете ръчно фрагментите, които плъгинът е идентифицирал като злонамерени. Така че, когато проверявате приставката Антивируссе оказа, че дори и просто извикване на функцията get_cache_file () вече се счита за подозрително от приставката. Така че всички резултати от проверките ще трябва да се наблюдават ръчно. Но това, например, е наистина заразена връзка и трябва да бъде премахната:

Как да разберете дали е вирус или трябва да бъде? Много е просто - сравнете вашия чист шаблон (ако има такъв) и го сравнете (файл по файл) с този, който е инсталиран и вече е претърпял някои промени. Не е нужно да правите сравнението толкова буквално, просто потърсете, за да видите дали празният ви шаблон съдържа реда, който приставката е подчертала. Ако е така, щракнете върху бутона „Това не е вирус“ и този ред няма да се вземе предвид при следващото сканиране.

И ето един пример за втория плъгин, който опитах - Използвайте скенера

Както можете да видите, тук всичко е много по -занемарено. За мен този резултат беше шокиращ. Но това не е всичко. В приставката има функция като валидиране. Така че, ако го активирате, се оказва, че блогът трябва да се състои от текст и най -много няколко CSS таблици. Така че, струва ми се, че авторът на приставката очевидно е прекалил със сигурността тук. Добрата новина е, че плъгинът просто показва предполагаемите заразени фрагменти и не ги почиства.

След като анализирате всички редове, подчертани в жълто, можете лесно да откриете зловреден софтуер (злонамерен код), но какво да направите с него по -нататък - решете сами. Методът на почистване все още е същият - сравнявате маркирания код с архива на сайта (вижте) и, ако откриете несъответствия, идентифицирате дали сте го направили сами или някой друг го е направил вместо вас, което означава, че това вече не е добре и може да се окаже вирус. Дори разработчиците на WordPress съветват да проверите сайта за злонамерен код с тази конкретна приставка. Но има такива безобидни вложки, например в тялото на iframe, които плъгинът също може да идентифицира като заразен код. Но в действителност, без тези редове, този раздел на вашия блог няма да работи правилно.

Как зловредният софтуер влиза в файловете на блога и какво е това по дефиниция? Думата злонамерен софтуер буквално означава - зловреден софтуер, от английския злонамерен софтуер. Това е всеки софтуер, който може да се използва за неоторизиран достъп до сайта и неговото съдържание. Вероятно можете да си представите, че за средно обучения хакер няма да е трудно да хакне уебсайт, особено след регистрация. След това можете да променяте съдържанието на блога, както желаете - това би било образование.

Зловредният зловреден софтуер може да бъде вмъкнат в плъгини, които инсталирате от неизвестен източник, и в скриптове, които понякога приемате, без да проверявате, но се доверявате на автора. Най -безобидният зловреден софтуер е връзка към автора на модул, който сте инсталирали на сайта. И ако самият автор не ви предупреди, че такава връзка съществува, значи това е чист вирус.

И така, инсталирах нова тема в пробен блог и след като изтрих една безобидна връзка към някакъв мъжки клуб в мазето на сайта, тя спря напълно да се отваря, а на основната имаше надпис - „Нямаш право на изтриване на връзки. " Ето безплатна тема за вас. Можете да прочетете как да извадите такива леви връзки.

Вашата база данни може да се използва и за стартиране на код, съдържащ вируси. Спам връзките също много често се добавят към публикации или коментари. Такива връзки обикновено са скрити с CSS, така че неопитен администратор не може да ги види, но търсачката може да ги различи веднага. Разбира се, тук влиза в действие всеки антиспам, например същият, който е лицензиран, тестван и проверяван многократно. Хакер може да изтегля файлове с разширения на файлове с изображения и да ги добавя към кода на вашите активирани приставки. Следователно, дори ако файлът няма разширението php, кодът в този файл може да бъде стартиран.

Има още един прост инструмент, с който започнах запознанството си със злонамерен софтуер - приставката Theme Authenticity Checker (TAC). Той е лек и достатъчно мощен, но проверява само вашите теми, дори неактивни. Той не докосва останалите директории и това е неговият недостатък. Ето какво ми даде проверката на текущата ми тема с този плъгин:

Две предупреждения в активната тема и нищо друго. Няма злонамерен код. Между другото, това са връзките, които си вмъкнах по съвет на Google - за подобряване на качеството на фрагмента (показване на лични данни, адрес на организацията и т.н.). Но това е само проверка на файловете с теми и какво се прави в други директории, ще трябва да разберете или с помощта на други приставки или онлайн услуги. Например такава услуга (вече е надеждна) като Yandex Webmaster или подобна в Google. Те имат функцията да проверяват всеки уеб ресурс за злонамерени включвания и го правят ефективно. Но ако това не ви е достатъчно, тогава сравнете резултатите с резултатите от други услуги и направете изводи.

По някаква причина искам да се доверя на Yandex, а не на приставки. Друг добър ресурс е http://2ip.ru/site-virus-scaner/. След като разгледах един от блоговете си, ето какво открих:

Тук също можете да проверите отделни файлове за злонамерен код, ако имате такива съмнения. Като цяло услугата е добра.

От всичко казано бих направил следните изводи:

1. За да предотвратите появата на злонамерен код, първо трябва да използвате доказани услуги за изтегляне на файлове - плъгини, теми и т.н.

2. Редовно правете резервни копия на всичко, което съдържа сайтът - бази данни, съдържание, административен панел, качени файлове на трети страни, включително.

3. Възползвайте се от актуализациите, които WordPress предлага. Те поне не съдържат вируси, въпреки че не винаги са функционално оправдани. Но като актуализирате, по този начин премахвате евентуално наличните вируси.

4. Премахнете неизползваните теми, плъгини, изображения и файлове без съжаление - това е поредният резервен запис за злонамерен софтуер, за който може никога да не се досетите.

5. Направете добра парола за вашия FTP достъп, вход за phpAdmin, административен панел и обикновено там, където никой друг не трябва да има достъп.

6. Опитайте се (дори и да имате такова желание като небето) да не променяте или заменяте основните файлове на WordPress - разработчиците знаят по -добре какво и как трябва да работят.

7. След като откриете и премахнете вируси, сменете всички пароли. Мисля, че ще имате голямо желание да направите парола от 148 знака в различни регистри и със специални знаци. Но не се увличайте с твърде сложни пароли, може да ги загубите и тогава ще трябва да възстановите всичко, което не е много приятно.

Всички тези методи и компоненти, които описах и които ще ви помогнат да се отървете от вирусите, разбира се, са безплатни, разбира се, почти домашно приготвени и разбира се, те не дават 100% гаранция, че вашият сайт ще бъде почистен от злонамерени вложки. Ето защо, ако вече сте се погрижили за почистването на вашия блог, тогава е по -добре да се свържете с професионалисти, например, в услугата Сукури(http://sucuri.net/). Тук вашият сайт ще бъде правилно наблюдаван, те ще дадат практически препоръки, които ще ви бъдат изпратени с писмо, а ако не искате сами да се занимавате с чист сайт, то на ваше разположение са специалисти, които ще направят всичко възможно най -добре път в рамките на 4 часа:

Всеки уеб администратор намира злонамерен код на вашия сайт, получава много не особено приятни впечатления. Собственикът на сайта веднага, в паника, се опитва да намери и унищожи вируса и да разбере как тази мръсотия може да стигне до неговия сайт. Но както показва практиката, намерете злонамерен код на уебсайтане е толкова лесно. В края на краищата вирусът може да бъде регистриран в един или няколко файла, огромен брой от които е сайт, независимо дали е двигател, работещ на WordPress, или обикновен сайт на html.

Вчера, докато проверявах пощата си, намерих писмо от Google, в което се посочва, че посещението на определени страници от сайта ми може да доведе до заразяване на компютрите на потребителите със зловреден софтуер. Страница с предупреждение вече се показва на потребителите, които следват връзки в резултатите от търсенето с Google.ru. Този сайт не бях добавен от мен към панела за уеб администратори на Google, така че бях уведомен по пощата. Имах още няколко сайта в панела на уеб администратора и когато влязох там, бях ужасен да видя предупреждение за злонамерен код на още два мои сайта.
В резултат на това се спрях на три от моите сайтове злонамерен код, който трябваше да намеря и унищожа. Един от сайтовете работи на WordPress, другите два се състоят от обикновени php страници.

Заслужава да се отбележи, че Google реагира много по -бързо от Yandex на наличието на зловреден код. В панела за уеб администратори на Yandex не се появи предупреждение за наличието на вирус на сайта. За щастие, в рамките на няколко часа успях да намеря този злополучен вирус.

Като правило, най-често сайтовете са заразени от така наречения iframe вирус. Всъщност този вирус се състои от код ... Вирусът краде всички пароли от Total Commander или друг ftp клиент. В моя случай се случи същото, кодът на iframe беше регистриран в няколко десетки файла на моя сайт. На сайта, който работи на WordPress, зловредният код успя да се установи само в footer.php.

Така, как да намерите злонамерен кодако установите, че вашият сайт е заразен:

1. Отидете на контролния панел на хостинга и сменете паролата. Ако имате няколко сайта, ние правим това с всички наши сайтове.

2. Променете и изтрийте паролите във ftp клиента. Никога повече не съхраняваме пароли във ftp клиенти, винаги ги въвеждаме ръчно.

3. Можете да отидете на хостинга чрез ftp и да видите какво се е променило във вашите файлове. Сортирайте файловете по дата на последното им изменение. За тези файлове, които са заразени, датата трябва да е свежа и същата. Отворете тези файлове и потърсете iframe кода, като правило този код се намира в самия край. По принцип зловредният код се записва във файлове: index.php, index.html, във файлове с разширение .js. Често тази инфекция живее между етикетите .
За самостоятелно написани сайтове, погледнете много внимателно всички файлове и папки на скриптовете, вирусът често се регистрира там. Също така, любимото местообитание на този вирус, в кодовете на гишетата за сайта и в рекламните кодове.

4. Проверете файла. htaccess за подозрителен код. Понякога злонамерен код попада и в този файл. Обикновено във файловете на двигателя има няколко директории, в които файлът може да се намира.htaccess. Проверете всички тези файлове и се уверете, че кодът е „чист“.

Що се отнася до файловете на WordPress или друга CMS, като правило всяка CMS се състои от много файлове и папки и е много трудно да се намери злонамерен код в тях. Например, мога да препоръчам приставката TAC за WordPress. Тази приставка проверява файловете във всички теми в папката теми за код на трета страна. Ако TAC открие нежелан код, той ще покаже пътя към този файл. По този начин е възможно да се открие маскиращият вирус.
Изтеглете TAC плъгин: wordpress.org

Като цяло трябва постоянно да имате предвид всички действия, които сте извършили с файловете на вашия сайт. Запомнете какво се е променило или добавило към този или онзи код.

Когато откриете и премахнете злонамерения код, не е болно да проверите компютъра си за вируси.
И ако вашият сайт е маркиран от Google или Yandex като заразен, тогава през панела на уеб администратора трябва да изпратите заявка за второ сканиране. По правило търсачките трябва да премахнат всички ограничения от вашия сайт в рамките на 24 часа. Google не обработва молбата ми за втора проверка за дълго време и след няколко часа всички ограничения бяха премахнати от сайтовете ми.

Зловредният код влиза в сайта поради небрежност или злонамерено намерение. Целта на злонамерения код е различна, но всъщност уврежда или пречи на нормалната работа на сайта. За да премахнете злонамерен код от WordPress, първо трябва да го намерите.

Какво е злонамерен код на WordPress сайт

На външен вид най -често зловредният код е набор от букви и символи на латинската азбука. Всъщност това е криптиран код, чрез който се изпълнява това или онова действие. Действията могат да бъдат много различни, например новите ви публикации веднага се публикуват в ресурс на трета страна. По същество това краде вашето съдържание. Кодовете имат и други „задачи“, например поставяне на изходящи връзки на страници на сайта. Задачите може да са най -сложните, но едно е ясно, че трябва да ловите и изтривате злонамерени кодове.

Как злонамерените кодове стигат до сайта

Има и много вратички за получаване на кодове на сайта.

1. Най -често това са теми и плъгини, изтеглени от „леви“ ресурси. Въпреки това, такова проникване е типично за така наречените криптирани връзки. Изричният код не достига до сайта по този начин.
2. Най -опасно е проникването на вирус при хакване на сайт. По правило хакването на сайт ви позволява да поставите не само „еднократен код“, но и да инсталирате код с елементи на зловреден софтуер (злонамерена програма). Например, намирате код и го изтривате и той се възстановява след известно време. Отново има много опции.

Веднага отбелязвам, че борбата с такива вируси е трудна, а ръчното премахване изисква знания. Има три решения на проблема: първо решение- използвайте антивирусни плъгини, например плъгин, наречен BulletProof Security.

Това решение дава добри резултати, но отнема време, макар и малко. Има по -радикално решение, за да се отървете от злонамерени кодове, включително сложни вируси, е да възстановите сайта от предварително направени резервни копия на сайта.

Тъй като добрият уеб администратор го прави периодично, ще бъде лесно да се върнете към незаразена версия. Трето решениеза богатите и мързеливите, просто отидете в специализиран "офис" или специалист.

Как да търсите злонамерен код в WordPress

Важно е да се разбере, че зловредният код в WordPress може да бъде във всеки файл на сайта, а не непременно в работната тема. Той може да влезе с плъгин, с тема, с „домашен“ код, взет от интернет. Има няколко начина да се опитате да намерите злонамерен код.

Метод 1.Ръчно. Преглеждате всички файлове на сайта и ги сравнявате с файловете на незаразения архив. Намерете чужд код - изтрийте го.

Метод 2.Използване на приставки за сигурност на WordPress. Например, . Този плъгин има страхотна функция, сканирайки файлове на сайта за чужд код и плъгинът върши отлична работа с тази задача.

Метод 3.Ако имате разумна поддръжка за хостинг и смятате, че сайтът е „на някой друг“, помолете ги да сканират сайта ви със своя антивирус. Всички заразени файлове ще бъдат изброени в отчета им. След това отворете тези файлове в текстов редактор и премахнете зловредния код.

Метод 4.Ако можете да работите с SSH достъп до директорията на сайта, тогава продължете, има кухня.

Важно! По какъвто и начин да търсите злонамерен код, преди да търсите и след това да премахнете кода, затворете достъпа до файловете на сайта (активирайте режима за поддръжка). Помнете кодовете, които се възстановяват сами, когато ги изтриете.

Търсете злонамерени кодове с помощта на функцията eval

Има такъв php eval функция... Тя ви позволява да изпълнявате всеки код в реда си. Освен това кодът може да бъде кодиран. Именно поради кодирането зловредният код изглежда като набор от букви и символи. Има две популярни кодировки:

1. Base64;
2. Rot13.

Съответно в тези кодировки функцията eval изглежда така:

• eval (base64_decode (...))
• eval (str_rot13 (...)) // във вътрешни кавички, дълги неразбираеми набори от букви и символи ..

Алгоритъмът за търсене на злонамерен код с помощта на функцията eval е следният (работим от административния панел):

• отидете на редактора на сайта (Външен вид → Редактор).
• копирайте файла functions.php.
• отворете го в текстов редактор (например Notepad ++) и потърсете думата: eval.
• ако се намери, не бързайте да изтривате нищо. Трябва да разберете какво „иска“ тази функция да изпълни. За да разберете това, кодът трябва да бъде декодиран. Има онлайн инструменти за декодиране, наречени декодери.

Декодери / кодери

Декодерите работят просто. Копирайте кода за дешифриране, поставете го в полето за декодиране и декодирайте.

По време на това писане не съм намерил нито един шифрован код, намерен в WordPress. Намерих кода от сайта на Joomla. По принцип няма разлика в разбирането на декодирането. Разглеждаме снимката.

Както можете да видите на снимката, функцията eval след декодиране не изведе ужасен код, който застрашава сигурността на сайта, но криптирана връзка за авторски права, автор на шаблона. Той също може да бъде изтрит, но ще се върне след актуализиране на шаблона, ако не използвате

Преди да разберете как да почистите сайт на WordPress, трябва да разберете с какво всъщност ще се занимаваме. В широк смисъл терминът "вирус" се отнася до злонамерен софтуер, който може да причини една или друга вреда на собственика на уеб ресурс. По този начин тази категория включва почти всеки код, вграден от киберпрестъпниците в скриптове на двигателя. Това могат да бъдат скрити връзки, водещи до песимизация в резултатите от търсенето, задни врати, които осигуряват на хакер с администраторски достъп, или сложни структури, които превръщат даден сайт в зомби мрежов възел, и дори биткойн миньор. Ще говорим за това как да открием и премахнем вируси от различен калибър, както и как да се защитим от тях.

Много от съветите, споменати в предишни статии, могат да предпазят вашия сайт от заразяване. Например "зараза" може да се намери в пиратски шаблони и плъгини, пълното отхвърляне на такива компоненти е важна стъпка от гледна точка на сигурността. Съществуват обаче редица по -специфични нюанси.

1. Инсталирайте надежден антивирус

Злонамерена програма може да бъде въведена не само отвън - източникът на инфекция може да бъде компютърът, от който се администрира проектът. Съвременните троянски коне могат не само да откраднат FTP паролата, но и независимо да изтеглят изпълнимия код или да променят CMS файловете, което означава, че безопасността на уеб ресурса директно зависи от сигурността на вашата работна машина.

ИТ пазарът предлага разнообразие от антивирусни решения. Най -умният избор обаче са продуктите на големите компании:
● Сред местните водещи позиции заемат предложенията на Лаборатория Касперски и Dr. Уеб.
● Сред чуждестранните търговски решения са линията Norton от корпорацията Symantek и популярният ESET NOD;
● Ако говорим за безплатни опции, тогава Avast и Comodo безусловно са начело.

2. Обходете сайта, използвайки онлайн услуги

Когато се открие подозрителна активност (грешки в двигателя, спирачки, изскачащи прозорци и банери на трети страни), най-простото нещо, за което можете да се сетите, е да пуснете ресурса чрез онлайн скенер, който може да определи факта на инфекция. Безспорният лидер тук е VirusTotal, намиращ се на virustotal.com. За да го използвате, просто отидете в раздела „URL“, въведете линка, който ви интересува, и кликнете върху „Провери!“

След известно време системата ще издаде доклад със следното съдържание:

Трябва да се изясни: VirusTotal не е независим проект, а един вид агрегатор на антивирусни скенери. В тази връзка става възможно едновременното сканиране на WordPress за вируси на 67 системи. Безспорно предимство е подробният доклад, който предоставя данни за всички поддържани услуги. В края на краищата антивирусите много обичат да издават фалшиви аларми, така че дори ако процентът на откриване се различава от идеалния (например 3/64), това не означава, че ресурсът е заразен. Фокусирайте се преди всичко върху големи играчи (Kaspersky, McAfee, Symantec NOD32 и други), малките офиси често идентифицират определени части от кода като опасни - не го приемайте сериозно!

3. Използвайте Yandex.Webmaster

Вероятно сте забелязали, че някои от връзките в резултатите от търсенето са снабдени с предупредително съобщение: „Сайтът може да заплашва вашия компютър или мобилно устройство“. Факт е, че търсачката има свои собствени алгоритми за откриване на злонамерен код, уведомяващ потребителите за потенциалния риск. За да сте наясно със случващото се и първи да получавате известия, достатъчно е да се регистрирате в услугата Webmaster. Можете да видите цялата необходима информация в раздела „Защита“:

Ако бъде открита заплаха, тук ще се покаже информация за заразените страници. За съжаление, селективното сканиране на WordPress за вируси е невъзможно - Yandex сканира себе си и освен това не всички качени уеб документи са включени в извадката, а само част от тях, определени на случаен принцип.

4. Проверете отчетите на Google

Най -популярната търсачка в света предлага още по -лесен начин за наблюдение - просто следвайте връзката google.com/transparencyreport/safebrowsing/diagnostic/?hl=ru и въведете адреса на интересуващия ви сайт в съответното поле. Ще получите изчерпателни данни за ресурса и ще видите дали Google има претенции по отношение на откриването на злонамерени скриптове:

Как да почистите уеб сайта на Vodpress от вирусни връзки?

Нека преминем от общи препоръки към конкретни. Нека започнем с общите варианти на зловреден код - инжектирането на външни URL адреси и пренасочвания към целевия уеб ресурс. За съжаление, черният изпълнителен директор все още е популярен, което означава, че хакерите не седят безделни, тъй като тази задача е една от най -простите. Нека да го подредим по ред.

1. Пренасочване към ресурси на трети страни

Представете си ситуация: отивате на собствения си уебсайт, но веднага се прехвърляте в следващия каталог на „свободното време“ или на целева страница, предлагаща да печелите пари от Forex. Това почти сигурно означава, че уеб ресурсът е хакнат и в .htaccess са се появили няколко нови реда. Лечението е просто: отворете файла, намерете директивите, съдържащи адреса, на който се пренасочва, и след това ги изтрийте. Така че, за условен malwaresite.com, необходимите конструкции могат да бъдат както следва:

RewriteEngine на RewriteBase/RewriteCond% (HTTP_HOST)! ^ Tekseo \ .su RewriteRule ^ (. *) Http://malwaresite.com/$1

По -сложна опция е постоянно пренасочване, написано на PHP. Ако сте проверили и не сте открили нищо подозрително, проблемът най -вероятно е във файла index.php. Пренасочването тук става чрез изпращане на желаните заглавки на посетителя:

include ("redirect.php"); изход ();

Запомнете - няма такива фрагменти в оригиналния index.php, така че можете безопасно да ги изтриете всички. Също така намерете и премахнете файла за включване (в нашия пример това ще бъде redirect.php, разположен в основната папка).

По -хитър ход е пренасочване за мобилни джаджи. Достъпвайки до вашия ресурс от персонален компютър, никога няма да разкриете факта на инфекция, но потребителите на смартфони и таблети ще бъдат неприятно изненадани, когато попаднат на друга страница. Такова пренасочване може да бъде реализирано:

1. .htaccess
Най -простият начин, който лесно се изчислява. Устройството се идентифицира от представения потребителски агент. Може да изглежда така:

RewriteEngine на RewriteBase/RewriteCond% (HTTP_USER_AGENT) ^. * (Ipod | iphone | android). * RewriteRule ^ (. *) $ Http://malwaresite.com/

2. PHP
По същия начин в PHP е реализирано пренасочване. Конструкцията по -долу може да бъде намерена в индексния файл. Отново не забравяйте за вездесъщите:

3. JavaScript
Тук се проверява разделителната способност на екрана, ако ширината е 480 пиксела или по -малка, посетителят се пренасочва към злонамерен сайт. Ако вашият проект използва подобен метод, не забравяйте да проверите този блок за промяна на адреса.

2. Проверка на изходящите връзки

Пренасочването обаче е твърде грубо и изрично. Много по -често е намирането на URL вграждане скрито от CSS и други методи. С това, което не виждате, е практически безполезно да се борите. Въпреки това, използвайки страхотната помощна програма Xenu Link Sleuth, можете да оцените своя профил за връзка с WordPress. Последната версия на програмата е пусната през 2010 г., въпреки това, тя е актуална и до днес и дори работи чудесно под Windows 10.

Когато Xenu е инсталиран и работи, щракнете върху Файл - Проверете URL. Ще видите прозорец:

Тук просто трябва да въведете домейна на проекта и да щракнете върху OK. Възможно е също така да се добавят филтри по маска:
● Считайте URL адресите, започващи с това като „вътрешни“ - считайте URL адресите, съдържащи даден фрагмент, като вътрешни;
● Не проверявайте URL адреси, започващи с това - позволява да изключите определени връзки от проверка (например, ако искате да виждате само изходящи връзки, въведете домейна на сайта тук).

След приключване на процедурата помощната програма ще предложи да провери WordPress за наличието на така наречените сираци - уеб документи, към които няма нито един URL адрес.

Ако отговорът е положителен, ще се появи прозорец за въвеждане на данни за FTP оторизация:

Тази функция може да бъде полезна, ако сайтът е стар и е претърпял много промени по време на съществуването си: можете да го използвате за почистване на директории от "боклук". Ние обаче се интересуваме повече от резултатите от сканирането:

По този начин, ако в WordPress има вируси, които причиняват появата на скрити URL адреси, Xenu ще ви помогне да установите факта на тяхното присъствие. Единственият въпрос е как да се процедира.

3. Търсете и унищожавайте

Представете си, че Xenu е намерил активни връзки към условен malwaresite.com. Как мога да ги намеря и премахна? Понякога задачата е изключително проста. Непрофесионалистите действат грубо, ограничавайки се до скриване на URL адреса от любопитни очи, но самият адрес може да бъде изписан изрично в кода. Възможни са следните опции:
1. Поставяне на URL в долния колонтитул вместо авторски права;
2. Използвайки описаните по -горе осиротели файлове (например html документ се зарежда в директория с изображения - търсачките също могат да го индексират);
3. Манипулиране с каскадни стилови таблици:
● текст -отстъп: -9999999999px / позиция: абсолютна; ляво: -9999999999px - преместете връзката извън дисплея;
● дисплей: няма / видимост: скрит - прави текста невидим;
● размер на шрифта: 1px; - еднопикселни URL адреси, които не могат да се видят.

За да намерите и премахнете вирус от сайт на WordPress, всичко, което трябва да направите, е да сканирате целия двигател за ред, съдържащ „malware.com“. В Windows това може да стане с помощта на безплатния файлов мениджър Unreal Commander:

1. Изтеглете всички файлове на проекта в локална папка на вашия компютър, като използвате FileZilla, както е описано в предишната статия;
2. Стартирайте Unreal Commander и щракнете върху иконата на шпионското стъкло, за да отидете в интерфейса за търсене;

3. Изберете желаната папка, поставете отметка в квадратчето „С текст“, въведете „malwaresite.com“, посочете всички кодировки и щракнете върху „Стартиране на търсенето“.

Резултатът ще бъде списък с файлове, в които е намерена фразата. Сега остава да ги редактирате, като изтриете редовете на кода, отговорен за показването на връзката.

Използване на PHP Antivirus за WordPress

Описаните по -горе случаи са само върхът на айсберга. Професионален хакер може да намери нестандартен подход дори към такава проста задача като поставянето на скрита обратна връзка. По правило няма да можете да намерите нищо самостоятелно без помощта на подходящ софтуер. За щастие има решения като това и много от тях също са безплатни. Нека да разгледаме най -ефективните.

1. Ай-Болит

Вероятно най -популярният антивирусен продукт от Revisium. Предлага се в две версии: за работа директно на хостинг и локална машина с Windows (съвместима с 10, не изисква инсталация). За съжаление, версията * nix няма уеб интерфейс и е подходяща само за VDS или Специализиран сървър, така че ще анализираме как да работим с инструмента на компютър.

1. Изтеглете помощната програма от връзката revisium.com/kb/scan_site_windows.html и я разопаковайте на всяко удобно място на вашия компютър. Моля, обърнете внимание: пътят към директорията не трябва да съдържа руски букви, така че най -лесният начин е да го поставите в корена на диска;
2. Вътре в архива ще видите следното: папка със самия антивирус „aibolit“, „сайт“ (трябва да копирате сканираните уеб документи тук, всички те ще бъдат сканирани, независимо от нивото на вложеност), както и като три bat-файла:
● старт - за бърза проверка;
● start_paranoic - дълбоко сканиране с откриване на всякакви подозрителни фрагменти от код;
● scan_and_quarantine - скриптът ще постави всички опасни файлове в архива.
3. За да започнете, щракнете двукратно върху някой от предоставените bat-файлове, в зависимост от резултата, който искате да получите. Ще започне сканиране, според резултатите от което ще бъде генериран отчетът AI-BOLIT-REPORT.html (може да се види във всеки браузър). В режим на карантина той ще бъде архивиран със съмнителни скриптове

Разбира се, всъщност няма никакъв зловреден софтуер. Както можете да видите на екранната снимка, самите разработчици предупреждават за вероятността от грешки.

2. Манул

В допълнение към мониторинга, Yandex кани всички да използват безплатен патентован антивирус. Помощната програма Manul, написана на PHP, може да се изпълнява на почти всеки уеб сървър и е съвместима с повечето популярни CMS. В допълнение, скриптът може не само да открие, но и да премахне опасен код. По-долу е стъпка по стъпка ръководство за идентифициране и лечение на вируси.

1. Изтеглете програмата на https://download.cdn.yandex.net/manul/manul.zip;
2. Разопаковайте архива в главната директория на вашия сайт;
3. Следвайте връзката site_name / manul / index..php);
4. Измислете парола. Скриптът има сериозни изисквания за сигурност: паролата трябва да е с дължина поне 8 знака, да съдържа главни букви, цифри и специални знаци.
5. Сега можете да започнете сканирането, като щракнете върху бутона със същото име. Също така, скриптът може да бъде персонализиран чрез задаване на интервала на заявка. Колкото по -голяма е тази стойност (за секунди), толкова по -дълго ще отнеме проверката. Коефициентът може да бъде зададен на нула, но при хостинг с ниска мощност това може да доведе до значително увеличаване на времето за реакция, до липсата на ресурс.
6. След това ще започне проверката - не затваряйте раздела, докато не приключи!
7. Когато сканирането приключи, ще се появи прозорец с бутон за изтегляне на отчета. Кликнете върху него, за да изтеглите scan_log.xml.zip.

8. В друг раздел на браузъра отворете анализатора, разположен на адрес https://antimalware.github.io/manul/. Кликнете върху бутона „Качване на файл“ и изпратете получения архив за проверка.

9. На този етап пристъпваме директно към премахване на вируси от сайта на WordPress. Ще видите прозорец, в който можете да изберете операции върху опасни файлове (в зависимост от степента на заплаха, те са маркирани с червен, жълт или зелен флаг). Бутонът „Карантина“ ви позволява да архивирате подозрителни файлове, а „Изтриване“ - за да се отървете от тях завинаги.

10. След като завършите желаните действия, превъртете надолу страницата и копирайте кода, който се появява в полето "Предписание"

11. Сега се върнете в раздела Manul, отидете в раздела "Лечение", поставете получения код в появилото се поле и кликнете върху "Изпълнение".

Https: = "" lazy = "" lazy-hidden = "">

13. След приключване на всички процедури, на екрана ще се появи прозорец с дневник. Можете също да изтеглите файловете под карантина, ако има такива

3. Санти

Сравнително млад проект, предназначен за откриване и елиминиране на вируси на WordPress сайт. Продуктът в момента е в бета тестване и е безплатен, единствената платена услуга е SMS известие на собственика за открити заплахи. В допълнение към самия модул за наблюдение, скриптът предлага на потребителите много инструменти за премахване на последиците от киберпрестъпниците. Но за тях - по -късно, първо ще се занимаем с инсталацията.

1. Изтеглете комплекта за разпространение от официалния сайт santivi.com. Разопаковайте съдържанието на архива в папка, предварително създадена на хостинга в кореновата директория, например: / var / www / site / public_html / santi_av

Горното е просто име, но най -добре е да използвате произволна последователност от малки букви и цифри на латиница.

2. Отидете на антивирусната страница. В нашия пример адресът ще изглежда така: https: // site / public_html / santi_av

4. При първото стартиране трябва да конфигурирате скрипта, като проверите автоматично зададените параметри и направите корекции, ако има такива. Също така не забравяйте да промените данните си за упълномощаване:

5. Регистрирайте се на уебсайта на продукта, след това попълнете раздела „Лична информация“, като въведете получения SANTI ID, имейл адрес и мобилен телефон (по избор-необходим за изпращане на SMS по пощата). Впоследствие можете да включите предпочитаните методи за уведомяване в раздела „Информация“.

6. В раздела "Файлове и БД" трябва да посочите информацията за свързване с MySQL, както и да изберете метода за архивиране на файловете на уеб ресурса. Поддържат се следните опции:

● създаване на локално копие;
● Използване на FTP сървър;
● Yagdeks.Disk;
● Google.Drive;
● Dropbox.

7. След като приключите горните манипулации, щракнете върху бутона "Finish". Ако всичко е наред, на екрана ще се появи следното:

Можете да промените настройките в секцията на програмата със същото име.

Santi има интуитивен интерфейс и съдържа всичко необходимо за ефективно премахване на вируси от вашия WordPress сайт. Инструментите са разделени на тематични раздели. Нека разгледаме всеки от тях:

1. Начало.

Тук можете да намерите най -важната информация за състоянието на защита. От раздела за известия можете да изпращате команди за действия, които трябва да се предприемат с открити заплахи.

2. Автопилот

Позволява ви да персонализирате действията, извършвани от скрипта в автоматичен режим. Между тях:
● File Monitor - сканира целостта на уеб документите, с изключение на динамичните (регистрационни файлове за достъп, грешки и т.н.). Проверява датата на промяна, хеш сумата, появата на нови директории и файлове.
● Мониторинг на база данни - записва подозрителна активност в MySQL.
● Архивиране - изцяло архивира сайта на редовни интервали, като запазва копие на сървъра или в облачното хранилище. Можете да конфигурирате параметрите чрез подходящ инструмент в секцията „Помощни програми“ (има възможност за селективен избор на директории и файлове). В резултат на това ще получите архив в специфичен .sabu формат - само Santi може да го обработи, както и собствена програма за компютри, базирани на Windows.
● Сканиране на уебсайтове през очите на търсачките - използва информация от Yandex и Google относно заплахите, открити в ресурса.
● Сканиране на сайта през очите на настолни антивируси - сканиране въз основа на подписи, предоставени от най -големите компании, разработващи решения в областта на киберсигурността за персонални компютри.

3. Комунални услуги.

Ето набор от поддържащи инструменти, предназначени да ви помогнат да поддържате вашия сайт и да го поддържате в безопасност. Нека разгледаме най -интересните:
● Търсене на дата. Той ще бъде полезен, ако периодът на заразяване е приблизително известен. С помощта на филтри можете да зададете времевия диапазон, както и да изброите файловите разширения и да посочите как да ги обработвате (изключване от търсене или проверка).
● Configurator.ftpaccess. Използва се за конфигуриране на FTP сървъри въз основа на ProFTPD и Pure-FTP.
● Премахване на злонамерени вложки. Ще бъде полезно, ако вашият WordPress сайт е засегнат от вирус и знаете кода му със сигурност. Можете да посочите началото и края на опасния фрагмент, да изброите типовете файлове, които трябва да бъдат обработени / изключени, разделени със запетаи и да изберете действието „търсене“ или „търсене и лечение“. В последния случай посочената последователност ще бъде автоматично изтрита при откриване.
● Редактор на файлове. Поддържана работа в няколко кодировки, номериране на редове, елементарно подчертаване на синтаксиса.

Специализирани антивируси за WordPress

В допълнение към горното, има и по -тясно фокусирани решения, направени под формата на плъгини за CMS. Нека анализираме най -ефективните.

1. Антивирус

Как да проверя шаблоните на WordPress за вируси? Отговорът се крие в малък модул с изключително неусложнено име и много аскетичен интерфейс. Прозорецът с настройки ни кани да стартираме ръчно сканиране на зловреден софтуер или да активираме автоматичното наблюдение на проекта (Проверете шаблоните на темите за злонамерен софтуер). Второто квадратче за отметка ви позволява да свържете бази данни на Google за безопасно сърфиране. Възможно е също така да въведете имейл адрес-в този случай отчетите ще бъдат изпратени на вашата електронна поща.

Ако щракнете върху бутона „Сканиране на шаблоните за теми сега“, всички шаблони, инсталирани в системата, веднага ще бъдат сканирани. Ще се появи страница:

Помощната програма подчертава подозрителни фрагменти с червена рамка. Разбира се, са възможни и фалшиви положителни резултати - в този случай AntiVirus е разпределил блок код, който е отговорен за забрана на показването на съобщения за погрешно упълномощаване. В такива случаи просто кликнете върху бутона „Няма вирус“.

2. ОДУ

Друг силно насочен модул е ​​Theme Authenticity Checker. След инсталирането тя ще се появи в секцията „Външен вид“ на административния панел. Тук изобщо няма нужда да конфигурирате и стартирате нищо - плъгинът извършва напълно автоматично сканиране и издава заключение без никакви подробности:

3. Quttera

По -усъвършенстван модул, който сканира целия двигател. Налични са два вида проверка: външна - с помощта на онлайн услуга:

и вътрешен - използвайки скрипта на самия плъгин. За да ги стартирате, просто щракнете върху бутона „Сканиране сега“.

Резултатът от проверката ще бъде следният доклад:

Както можете да видите, антивирусът разделя всички намерени файлове на потенциално опасни, подозрителни и злонамерени. Тази класификация е до голяма степен произволна - подобно на своите колеги, Quttera има тенденция да повдига фалшиви аларми. Най -добре е да поставите приставката на известен чист сайт и да започнете първичен мониторинг, според резултатите от който всички „отхвърлени“ файлове се добавят към белия списък. За да направите това, просто отидете в раздела „Открити заплахи“ и кликнете върху „Файл с бял списък“ под всеки сигнал.

4. Sucuri Security

Този плъгин е най -модерният от специализираните. Недостатъците включват задължителна регистрация в официалния ресурс за разработчици и получаване на API ключ, в противен случай функционалността ще бъде ограничена. Съответното предупреждение ще се появи веднага след активирането.

Като щракнете върху бутона, ще видите следния прозорец:

Името на домейна и имейл адресът на администратора се определят автоматично, но последният може да бъде променен. Полето за отметка DNS Lookups трябва да се постави само ако използвате CloudProxy.

Преди да разберете как да защитите WordPress от вируси, трябва правилно да конфигурирате разширението в раздела Настройки. Тук ще видите няколко раздела едновременно. Като цяло можете да зададете основните параметри:
● API ключ на приставка - позволява ви да въведете API ключа;
● Път за съхранение на данни - показва пътя към директорията, където Sucuri Security съхранява регистрационни файлове, списък със сканирани файлове и друга информация за услугата (по подразбиране - / uploads / sucuri;
● Обратен прокси и IP адрес и откривател на IP адреси - активирайте, ако са свързани външни прокси услуги или защитна стена;
● Failed Login Password Collector - позволява проследяване на неуспешни опити за влизане в сайта;
● User Comment Monitor - проверете съдържанието на коментарите, добавени от потребителите. Помага за защита както от спам, така и от злонамерени вложки;
● XML HTTP Request Monitor - филтрира Ajax заявки, може да повлияе отрицателно на времето за отговор на сайта;
● Audit Log Statistics - показване на статистика на събитията, тук можете да зададете броя на анализираните записи (по подразбиране - 500);
● Дата и час - позволява ви да промените часа и датата, ако са дефинирани неправилно;
● Нулиране на опциите - нулирайте настройките по подразбиране (полезно, ако започнете да изпитвате проблеми с производителността на сайта или работата на скриптове след инсталирането на приставката, но не можете да разберете какво не е наред).

Разделът „Скенер“ ви позволява да:
● Стартирайте принудително сканиране с бутона „Бързо сканиране“;
● Изберете един от трите алгоритма (SPL - най -бързият, Global - най -бавният и най -задълбочен или OpenDir - златната среда);
● Задайте честотата на проверките (по подразбиране - 2 пъти на ден);
● Активиране и управление на скенера на файловата система (FS скенер);
● Конфигурирайте анализатора на отчети и изчистете регистрационните файлове.

В раздела „Сигнали“ можете да посочите имейл адрес за изпращане на известия, както и да зададете шаблон за съобщение, като изберете от предложените или като въведете свой собствен в полето „Персонализирани“.

Също така тук можете да зададете честотата на изпращане на писма и параметри за откриване на атаки с груба сила.

По-долу е дадена възможност за фина настройка на сигналите. В допълнение към квадратчетата по подразбиране, си струва да активирате всички квадратчета за отметка, свързани с действията на потребителите - това ще помогне за успешното улавяне на спамери и груби лесовъди.

Също така си струва да включите всички елементи, свързани със състоянието на приставките (маркирани с щепсел) и шаблони (маркирани с четка). Това няма да зареди системата, но ще помогне да се идентифицират действията на нападател, който е получил достъп до проекта и е променил конфигурацията му.

Разделът „Игнориране на сканирането“ ви позволява да посочите директории, които не се нуждаят от сканиране (трябва да посочите абсолютния път към папката). Тук си струва да добавите местоположението на видео и аудио файлове: проверката им е безсмислена, докато ще изяде много сървърни ресурси, което ще се отрази негативно на производителността.

„Игнориране на сигналите“ ви позволява да изключвате от известията промени в съдържанието от определен тип (пост-типове).

Разделът „Trust IP“ ви позволява да зададете диапазони от IP адреси, действия от които няма да бъдат регистрирани от системата. Удобно е, ако работата с проекта се извършва от група хора от същата подмрежа.

„Hearbeat“ помага за конфигурирането на API със същото име, което се използва за двупосочна комуникация сървър-браузър. Използва се главно в работни групи и ако сте единственият собственик на сайта, най -добре е да го деактивирате напълно. Това ще премахне допълнителни уязвимости и ще подобри работата на двигателя.

След като направите всички редакции, можете да започнете сканирането в секцията Сканиране на зловреден софтуер със съответния бутон:

В допълнение към самия скенер, Sucury Securyti включва редица полезни инструменти, които помагат да се защити WordPress от вируси още преди хакването на сайта. Всички те са събрани в секцията „Втвърдяване“. Ще изброя възможностите:
● Проверете версията на WordPress - следи релевантността на ядрото на двигателя и ви позволява да стартирате принудителна актуализация;
● Защита на защитната стена на уебсайта - CloudProxy връзка (WAF трябва да бъде предварително конфигуриран в съответния раздел);
● Премахване на версията на WordPress - премахва дисплея на версията на CMS;
● Блокиране на PHP файлове - блокира достъпа до сервизни файлове чрез .htaccess (за Apache) или предлага препоръки за конфигуриране на Nginx;
● Verify PHP version - проверява текущата версия на инсталирания интерпретатор;
● Ключ за сигурност - ще ви уведоми, ако сте забравили да актуализирате ключовете за сигурност в wp -config.php;
● Изтичане на информация (readme.html) - премахва файла Readme, съдържащ информация, потенциално полезна за хакер;
● Администраторски акаунт по подразбиране - проверява дали входът за администратор се използва за акаунта на супер администратор;
● Редактор на приставки и теми - блокира вградения редактор на шаблони с едно щракване;
● Префикс на таблица с база данни - напомня ви да замените префикса на таблицата MySQL с уникален, вместо wp_ по подразбиране.

Разделът Post-Hack е полезен, след като почистите вашия WordPress сайт от вируси. Тук са представени три инструмента:
● Ключове за сигурност - позволява ви да създадете нов набор от ключове за сигурност и да замените компрометираните;
● Нулиране на потребителска парола - ще ви помогне да извършите групово нулиране на пароли на регистрирани потребители по ваш избор;
● Нулиране на приставки - връща всички инсталирани приставки към известни безопасни версии, с изключение на премиум добавки.

Нека обобщим

След като прочетете статията, се убеждавате, че борбата срещу зловреден софтуер не е нещо необичайно. Благодарение на наличието на специализирани решения, операции като проверка на WordPress шаблон за вируси, мониторинг на ядрото на CMS и почистване на сайта в случай на инфекция могат да се извършват дори от непрофесионалист. Но както в медицината, в ИТ ключът към успеха не е лечението, а превенцията. Не забравяйте - хакерите представляват заплаха не само за вас и вашето дете, но и за посетителите на уебсайта. Често те са тези, които са атакувани от посещение на заразени страници. Това е изпълнено със загуба на най -важното - доверието от страна на потребителите, което неизбежно ще доведе до загуба на редовни читатели и дори клиенти. Ето защо е много важно да се обърне внимание на проблемите на сигурността възможно най -рано, като се сведе до минимум вероятността от хакерство.

Наскоро хостинг доставчикът reg.ru спря работата на някои функции на PHP (по -специално, изпращане на съобщения по пощата) на сайта на един от клиентите ми, обяснявайки това с факта, че в акаунта, изпращащ спам, е открит злонамерен софтуер. Спрях работа и получих поръчки, а това вече е загуба. В тази връзка реших да ви кажа, читатели на сайта, как да проверите вашия сайт за вируси и да премахнете вредоносния код навреме.

Ситуацията не е необичайна, дори този мой блог е хакнат два пъти. Невъзможно е напълно да защитите ресурса си от появата на вируси, но е необходимо да намалите риска до минимум. Обикновено нападателите използват CMS уязвимости, шаблони или неправилни настройки за хостинг, за да ги проникнат.

Как да постъпите, ако подозирате, че сайт е заразен с вируси:

1. Проверете сайта за вируси и намерете файлове, съдържащи злонамерен код (това ще бъде половината от статията),
2. Изтриване или дезинфекция на открити файлове (втората половина на статията),
3. Затворете "дупки" в сайта, през които са проникнали лоши скриптове.

Всичките 3 случая на хакерство, с които се сблъсках (2 мои и 1 клиент), се случиха по една причина - на хостинга някои папки имаха права за публичен достъп 777, което позволяваше на всички да записват всяка информация там, така че точка # 3 за затваряне на „дупки“ е най -важното. Ще ви разкажа за него накрая.

Защо онлайн антивирусите са неефективни за уебсайт

Когато възникнат реални проблеми в работата на сайта или се появят съобщения от Yandex Webmaster за инфекция, мнозина започват да търсят онлайн антивируси за сайтове. Понякога те помагат, но в повечето случаи не го правят напълно.

Проблемът е, че услуги като antivirus-alarm.ru, virustotal.com, xseo.in, 2ip.ru и т.н. имат достъп само до външната страна на вашия сайт. Това означава, че те ще открият злонамерен код само ако излезе и покаже някои признаци.

И какво да направите, ако заразените файлове не се проявяват по никакъв начин и все още са неактивни или резултатът от тяхната дейност не дава ясни признаци на инфекция. Е, например, те просто показват странични връзки на уеб страници - за онлайн услуга това ще бъде , а самият вирус е скрит дълбоко в PHP кода и действа само на ниво сървър при обработка на заявки.

Предимството на онлайн антивирусен софтуер:Лесна употреба - написа URL адреса на сайта, натисна бутона и получи резултата. Но не фактът, че открих вирус.

Единственият ефективен начин за идентифициране на всички проблеми е да сканирате напълно всички файлове, хоствани на хостинга, където се намира сайтът. Това може да стане с достъп до хостинг, което означава, че антивирусът трябва да работи директно във файловете и папките на вашия сайт.

Антивирусни приставки

Между другото, феновете на популярните CMS в борбата с вирусите имат малко повече късмет, тъй като има плъгини, които могат да ги открият и отстранят своевременно. Говорих за един такъв плъгин в статията, той автоматично следи промените в двигателя и файловете на шаблони. Но дори той не винаги е в състояние да помогне, тъй като вирусите могат не само да проникнат в съществуващи файлове, но и да създадат свои, срещу които приставката ще бъде безсилна.

С една дума - в критична ситуация може да се наложи пълно сканиране на всички хостинг файлове, включително тези, които не принадлежат към CMS.