Курсы

Компьютерное обучение
Пользователь ПК
Системное администрирование + ремонт ПК
Веб-дизайн
Corel Draw
Adobe Photoshop
ArchiCAD
AutoCAD
3D MAX
Adobe Ilustrator
Курсы SEO
Бухгалтерия
1С: Бухгалтерия
Оператор 1С
Бухгалтерский учет + 1С
Дизайнерское мастерство
Дизайнер оформитель витрин
Дизайнер интерьера и мебели
Дизайнер-полиграфист
Ландшафтный дизайн. Садовник
Менеджмент
Делопроизводство для секретарей
Кадровое дело
Менеджер по организации туризма
Маркетинг и реклама
Администратор широкого профиля
Сметное дело
Психология
Практическая психология
Творческие дисциплины
Вязание спицами
Авторская кукла
Академия живописи
Батик
Декупаж
Скрапбукинг
Мыловарение
Вязание игрушек
Валяние шерсти
Квиллинг
Эко косметика
Тильда
Вязание крючком
Кройка и шитье
Флористика
Школа красоты
Парикмахер-стилист(для начинающих)
Массаж
Младшая медицинская сестра
Наращивание ресниц
Наращивание ногтей
Салонный маникюр и педикюр
Косметолог-визажист
Языковые курсы
Общий курс немецкого языка
Курсы английского, немецкого, итальянского и украинского

бесплатные приколы

шаблоны joomla 1.7

Як знайти і перевірити сайт на віруси шкідливі коди

  1. Переходимо до шкідливого коду на сайті:
  2. Пошук помилок і Список на хостингу
  3. Сервіс для постійної перевірки
  4. Тепер про плагіни для пошуку вірусу
  5. Видалення закодованої посилання

Як знайти на сайті шкідливий код, плагіни, логи і сервіси щоб перевірити сайт на віруси.

Доброго часу доби! Сьогодні вирішив написати статтю на тему блогинга. Ця тематика мене не приваблює і зазвичай я пишу про інше, але тут так вийшло, що зіткнувся, в липні цього року, з однією неприємною річчю на своєму сайті і довелося чимало повоювати перш ніж проблема вирішилася.

Ну а якщо з'явився досвід і деякі знання, чому б не поділитися з блогерамі- колегами, праця яких я поважаю і які, я знаю бувають, на моєму сайті. Загалом поки в пам'яті живо ...

Неприємна річ з якою я зіткнувся, - це вірус на сайті. Шкідливий код, який з'являвся в деяких файлах і ламав движок сайту на Вордпресс.

Виявлялося це тим, що виникала помилка при схваленні коментарів, не працював меню вставки картинок і віджет.

Загалом я вже стикався з подібним раніше, коли підключав на сайті який-небудь плагін, який конфліктував з шаблоном або іншими плагінами і тому спочатку подумав що справа в якомусь новому плагін (в його оновленні) або рекламному коді. Коротше в чому то новому, що я недавно зробив на сайті.

Не буду тягнути гуму і розповідати всі подробиці, в загальному, в результаті вся справа виявилося під шкідливий скрипт, який якимось чином проник на мій сайт. І це не дивно, якщо врахувати що я хоч і встановив захист, але не дуже звертав на все це увагу, - користувався малозахищеним доступом до хостингу для підключення до сайту; зберігав пароль при вході в адмінку, не використав інші, більш досконалі, способи захисту.

І хоч я описав тільки найважливіші моменти того, як іскал- видаляв вірус, що знайшов цікавого, ніж користувався і т.п .., стаття вийшла дуже великий.

Почну напевно з того, що в кратце розповім як я шукав шкідливий код:

Відразу, як дізнався що на сайті якийсь вірус, сам переглядав різні файли, і відкриваючи черговий файл, натискав Ctrl + F, і в маленькому, що відкрився Відразу, як дізнався що на сайті якийсь вірус, сам переглядав різні файли, і відкриваючи черговий файл, натискав Ctrl + F, і в маленькому, що відкрився віконці (праворуч, угорі) просто вставляв найбільш зустрічаються шкідливі команди-коди (про які буде трохи нижче) і тиснув Enter віконці (праворуч, угорі) просто вставляв найбільш зустрічаються шкідливі команди-коди (про які буде трохи нижче) і тиснув Enter .. Таким чином перевіряв основні файли теми і движка Вордпресс.

так взагалі легко можна знайти будь-який шматочок коду або слова в документі.

А якщо ви знаєте що вірус з'явився не давно, то при перевірці цим нудним способом, потрібно перевіряти файли, які по "датою редагування" (дивіться праворуч від файлу), були змінені недавно.

Я покопався пару днів-ні хрена не знайшов, і спочатку звернувся з проханням до Людмили, автору шаблону мого сайту.

До речі вона робить гарні і що важливо, оптимізовані і зручні в управлінні шаблони на різні теми. До того ж, вбудовані в них скріпти- функції дозволяють обходиться без багатьох важливих, але важких плагінів, навіть All In One SEO Pack не потрібен.

Людмила повністю оновила Вордпресс, тобто не тільки движок (як це робимо ми з вами) а абсолютно всі файли і потім видалила з хостингу всі колишні, старі. Начебто це спочатку допомогло, але вже незабаром збої повторилися. Звернувся по допомогу до фрілансера на цьому сервісі https://www.fl.ru/ .

Написав, в мною створеному проекті, приблизно наступне, - "На сайті є шкідливий код, це підтвердилося і т.д ... Якщо ви добре розбираєтеся в програмуванні і маєте досвід в усуненні подібних проблем, прошу вашої допомоги". Пропозиція я отримав в цей же день.

Переходимо до шкідливого коду на сайті:

Для початку як перевірити сайт на віруси: Це можна зробити на сервісі http://2ip.ru/site-virus-scaner/ .

Але врахуйте що цей сервіс лише може вказати підозра на вірус. Тобто конкретно сказати і показати де і що, якщо раптом дійсно є шкідливий код на сайті, він вам не підкаже.

Він враховує і вказує підозри в тих випадках, де наприклад, є рекламні коди з iframe -вставкамі. Загалом може кричати і помилкову тривогу, так що не Кіпіш побачивши червону напис. Головне що сервіс укажет- чи відносить Google і Yandex ваш сайт до безпечних. Цей сайт годиться для швидкої перевірки на вірус.

Більш серйозний ресурс для перевірки сайту на шкідливий код http://antivirus-alarm Більш серйозний ресурс для перевірки сайту на шкідливий код http://antivirus-alarm.ru/ . Перевіряє різні функції такі як вірус на сайті, шкідливі JavaScript, плаваючі шкідливі фрейми, IE атак, вкаже сумнівні посилання і т.п. Для сканування він використовує антивірусні бази відомих, світових компаній, тому і повне сканування сайту може тривати досить довго.

Ще на цьому сервісі (внизу) є розділ де можна подивитися як виглядають різні види виявляються шкідливих кодів.

Ну і якщо раптом що, тут же ви можете звернутися за лікуванням сайту, хоча і послуга там зовсім не дешева. Я б звичайно порекомендував найняти досвідченого фрілансера програміста, що я і зробив.

Пошук помилок і Список на хостингу


До речі, якщо взагалі говорити про помилки на сайті, то щоб в майбутньому можна було швидко дізнатися про будь-яких помилках, які раптом з'явилися в скриптах або викликані конфліктом плагінів, помилки в кодах і файлах, - обов'язково підключіть логи на своєму хостингу.

Як правило, навіть на потужних хостингах таких як http://www.timeweb.ru/ це функція не підключена. Ви самі повинні написати в тех.підтримку вашого хостера, що б підключили логи такі як error_log і access_log.

підтримку вашого хостера, що б підключили логи такі як error_log і access_log

Ці файли автоматично будуть архівувати на вашому хостингу поруч з кореневою (головної) папкою (public.html). Ви їх завантажуєте собі на комп, відкриваєте наприклад в звичайному Ворде і дивіться що знаходиться в цьому файлі. Особливо це актуально для error_log.

Ви самі легко розберетеся що це за файли і для чого, досить задати питання в тих підтримку хостингу, але якщо коротко файл error_log - буде вказувати, - чи є взагалі якісь помилки на сайті і в чому вони виражаються, в якому файлі відбувається чогось не ту.

access_log - покаже всі можливі підключення до вашого сервера. Самі ви навряд чи станете в ньому розбиратися (там купа всього), я так точно забив, але фрілансеру, якщо буде потрібно, показати можна.

В основному потрібен access_log для виявлення тих, хто використовує URL картинок з вашого сайту і тим самим навантажує ваш сервер, хоча це можна легко запобігти але про це в іншій статті.

А коли будете переглядати скачаний вами файл error_log (його ви легко перевірите самі), і він виявиться порожній, значить у вас все в порядку, помилок немає.

І так, де і як перевірити сайт на віруси і на помилки ви тепер знаєте. А тепер про важливі сервісах і плагінах з пошуку і видалення шкідливого коду.

Сервіс для постійної перевірки


Ну, а зараз про хороше сервісі, до якого я підключив свій сайт, і той же рекомендую зробити вам, зайвим не буде Ну, а зараз про хороше сервісі, до якого я підключив свій сайт, і той же рекомендую зробити вам, зайвим не буде.

сервіс http://www.siteguard.ru/ . Що він дає? По-перше він знаходить все підозрілі коди і показує весь їхній зовнішній вигляд. У тому числі безпечні скрипти, так що в цьому він як і всі. Хоча на мій погляд і більше виборчий.

Але головна його перевага в тому, що зареєструвавшись і підключивши сайт до цього сервісу, він автоматично буде його сканувати в певний час і в разі виявлення будь-якого нового коду, в тому числі і безпечного. Буде висилати, на перевірку, повідомлення вам на емейл.

Це дасть можливість, у разі чого недоброго, швидше зреагувати і вжити заходів поки Яндекс торомоза (як іноді він любить робити) і першим не виявить вірус.

Адже потім, крім падіння відвідуваності, буде додаткова морока з тим, щоб пошуковик відновив довіру до сайту. Тобто це дасть вам деяку перевагу в часі. Ця послуга на сервісі безкоштовна, принаймні поки.

Ну, а якщо вже Яндекс виявив і повісив на ваш сайт клеймо, то все кранти, сайт можна забути ..... Ахах, жартую звичайно, сподіваюся ваше серце б'ється ..

Нічого страшного друзі, просто відразу після видалення вірусу, обов'язково йдіть на Яндекс Вебмайстер і пишіть в тех. підтримку лист, а інакше так і буде сайт вважатися небезпечним. Те ж саме і з Google . Статус здорового йому відновлять протягом найближчих 1-3 днів.

Тепер про плагіни для пошуку вірусу

До хорошим плагинам для пошуку шкідливого коду на сайті сміливо можна віднести Exploit Scanner .І як написав у своїй статті автор цього плагіна , Цей інструмент надав мені неоціненну послугу, тому як шкідливий код, в моєму випадку, з'являвся в різних місцях сайту. Рекомендую почитати про цей плагін детальніше за посиланням автора.

Наприклад на моєму сайті, шкідливий код явно полюбив файл functions.php так як після першого видалення, через час знову виявився на тому ж самому місці. Крім того код був виявлений плагіном в файлі index.html і в якому то файлі з закінченням на "js".

Але на жаль чомусь не виявив коду в базі даних, хоча плагін спеціалізується на цьому. Взагалі, код там знайшли вручну, в файлі wp_wfHits.sql.

У цьому файлі містилася купа інформації про різні посиланнях і багато іншого всілякої інформації, це щось на зразок кеша, пам'яті, яка збирала про сайт все і вся. На вашому хостингу можливо вся ця інформація зберігається в файлі під іншою назвою, але у мене в цьому.

І взагалі, на майбутнє, подібну інформацію потрібно видаляти, тобто чистити базу даних MySQL не тільки спец. плагінами WP-Optimize і Optimize DB, але і вручну на хостингу перейшовши в розділ Бази даних MySQL (інакше ніяк) Це важливо щоб не захаращувати базу даних, адже це впливає на швидкість сайту, і тим самим на поведінковий фактор і відвідуваність.

У мене наприклад база даних скоротилася з 63 Мб до 14Мб. Робити тільки це потрібно акуратно, попередньо зробивши бекап. Ну про все таке подробней як небудь іншим разом або почитайте на блозі Олександра Борисова в цій статті .

Тільки зауважу ще важливу річ, - якщо при вході в базу даних MySQL, ви забули пароль і вирішили його змінити на новий (це легко зробити в даному розділі), то не забудьте зайти в головну папку public.html і знайти в ній файл wp- config.php, а в ньому знайти ось це:

і замість старого пароля (зірочки), вписати цей новий, інакше замість сайту ви побачите напис типу, - "Неможливо отримати доступ до запитуваною баз даних", тобто ваш сайт випарується, ну не зовсім звичайно.

Що то я відволікся. І так продовжуємо, плагін Exploit Scanner, так само як і антивірусні сервіси, реагує не тільки на вірус, але і на здорові скрипти. Тому, де б ви і чому не перевіряли сайт, ніколи не поспішайте що то видаляти.

Нерідко під підозру потрапляють лічильники статистики, такі як Лівінтернет, Яндекс Метрика, Mail.ru і ось наприклад, які шматочки показують суть, можна побачити в таких скриптах (виділено зеленим):

Крім цього, скрипти реклами, кнопки і віджети від соц. мереж:

А так же серед підозрілих можуть виявитися коди самого шаблону.

Під час відвідування таких файли знаходите в них знайомі вставкі- назви, таким способом можна спокійно виключити 90% всіх підозр виданих плагіном або сервісом. Ну, а в іншому доведеться порозбирали. І можна порівнювати старий файл з минулого бекапи, з новою його версією, в якому був знайдений цей код, і тим самим теж зрозуміти, в ньому чи знаходиться загроза.

У мене ж після того як шкідливий код був знайдений і вилучений з бази даних і ще з якогось файлу сайту, на цьому все закінчилося.

Я не буду демонструвати вам знайдений код, я залишив його на http://www.siteguard.ru/ , І безлічі подібного ви можете подивитися на сервісі вище.

Скажу тільки що він мав на собі такі вкраплення, - Evil і base64_decode на початку самого коду, потім шифрована довга абракадабра і iframe і echo всередині коду.

Найбільш часто зустрічаються шкідливими кодами вважаються файли з командами, - sscounter; Evil; base64_decode; iframe; explode.

Але ви повинні врахувати що наприклад такі частини як base64_decode; iframe; explode не так уже й рідко використовуються і в безпечному коді, наприклад у мене зараз один рекламний скрипт містить в собі вставку iframe.

І коли присутній в коді команда iframe, то як правило, якщо це шкідливий скрипт, де то поруч (всередині) є посилання на інший сайт, знову ж якщо це не рекламний код. Посилання може бути звичайного і прихованого виду у вигляді абракадабри.

Тепер про плагін ТАС. - плагін для виявлення вірусів на сайті Theme Authenticity Checker (TAC) знаю про таке, але сам не скористався, точніше сказати, встановив вже після видалення шкідливого коду, коли сайт вже якийсь час нормально пропрацював і ще раз перевірив сайт цим плагіном.

Конкретніше, він шукає несанкціоновані (чужі) посилання на сайті, вбудовані шкідливим кодом і перенаправляють на сторонній ресурс. Після активації, його налаштування шукайте в розділі "Зовнішній вигляд".

Завантажити плагін можна з офіційного сайту Вордпресс тут або встановити його через адмінку.

І ще один плагін який може вам дуже допомогти в майбутньому belavir. він визначає несанкціоновані зміни в php файлах движка Вордпресс.

Принцип дії плагіна, - він хешірует php-файли і потім порівнює поточні хеші з більш ранніми версіями і якщо виявляє невідповідності, відображає інформацію в адмінці сайту. Наприклад:

Якщо ж, переглянувши показаний файл, розумієте що це ви його редагували, тоді просто натисніть кнопку "скидання". В налаштуваннях плагін не потребує, закачайте та увімкнення.

Цей плагін допоможе швидше виявити впроваджений вірус. Слід тільки врахувати, що він як і всі колишні плагіни і сервіси, буде показувати всі незнайомі, в тому числі і здорові коди. Тут важливо розібратися в самому початку, після установки, а потім буде простіше. Якщо раптом що щось зміниться, то виведе один код, та й ви вже будете знати міняли ви що-небудь, де-небудь чи ні.

Відразу скажу, плагін конфліктує з іншим класним плагіном WP Security Scan, що це за плагін (в іншій статті) в загальному доведеться вибирати той чи цей.

І хочу додати, що ви повинні знати, не можна ставити на сайт все плагіни, які, як вам здається, потрібні, вони сильно навантажують сайт, що впливає на швидкість., Ставити потрібно тільки найнеобхідніші.

Але плагіни що я привів вище, крім belavir, можна встановити, а після перевірки сайту, просто відключати їх з адмінки щоб не створювати зайвого навантаження. Тобто вони будуть залишатися на сайті, але будуть відключені. Теж стосується і плагінів оптимізації бази даних (наведених вище).

ось сторінка автора плагіна belavir , Де ви можете його сміливо завантажити (дивитися праворуч), сайт схвалений Вордпресс, але перед цим обов'язково прочитайте статтю на тій же сторінці.

Ну і на цьому поки все, а під кінець напишу як можна видалити закодовану посилання, яка може виявитися в новому шаблоні.

Видалення закодованої посилання


Якщо видалити таку кодовану посилання то можна поламати весь шаблон так як посилання об'єднує в собі певні файли і вплине на функції теми.

Ось про людське око початок і закінчення подібної посилання:

Ось про людське око початок і закінчення подібної посилання:

До речі, якщо помітили в ній теж ховається команда base64_decode.

І так, для початку знаходимо кодовану посилання, звичайна вона довга і найчастіше знаходиться або в footer.php або functions.php.

І перед "<a href =" або "<? Php" (може бути і такий початок), ставимо наприклад такий знак "***" - це буде мітка для нашого лінку.

Далі заходимо на свій сайт (на головну) і правою кнопкою миші відкриваємо спливаюче віконце, в ньому вибіраем- "вихідний код сторінки" або "перегляд коду елемента" (в залежності від браузера).

Нам постане весь код нашого сайту.

Тепер на клавіатурі тиснемо Ctrl + F і шукаємо маленьке вікно внизу зліва. Вводимо в нього наші *** і нам відразу покаже (жовтим кольором) де знаходиться цей символ разом з нашою кодованої посиланням.

Після цього потрібно скопіювати все те, що знаходиться від початку нашої мітки і до самого низу коду. Після чого повертаємося до того нашого файлу, в якому ми знайшли це посилання і замість неї вставляємо той шматок коду, який ми тільки що скопіювали.

У цьому копіювати коді і будуть перебувати закодовані посилання, тільки зараз вони стали нормального вигляду і їх тепер не проблема безпечно видалити.

І на останок:

- Не забувайте перевіряти свій ПК на віруси. Трояни крадуть паролі з компа, і при з'єднанні з хостингом, - передають дані зловмисникам. - Не забувайте перевіряти свій ПК на віруси

- При з'єднанні з вашим хостингом для закачування будь то файлів використовуйте не порт 21, а порт 22 (тобто за наявності SSH підключення на хостингу). Це спеціальне підключення для безпечного доступу.

Якщо такого доступу в ПУ на сервісі немає, зверніться в тих .Підтримка за інформацією. Можливо такий доступ є, але він включається тільки при більш дорогому тарифному плані, що було в моєму випадку на моєму хостингу . Ну якщо сайт вже не погано розкручений, то я думаю немає сенсу економити на безпеці.

І при з'єднанні до хостера c клієнта Fizila або будь-якого іншого - не зберігайте в них паролі.

- Хоч іноді міняйте пароль до Панелі Управління сайту і бази даних. Сам пароль повинен складатися не менше ніж з 20 символів з різних регістром.

- Отримавши на пошту незрозуміле по електронній пошті посилання, перевірте його антивірусом на наявність шкідливого коду і краще не відкривайте все, що тільки можливо.

- І звичайно друзі, перед будь-якими роботами з файлами сайту, і базою даних обов'язково робіть бекап кореневої папки і бази. І тоді творите що завгодно, ламайте хоч ще багато багато разів, все можна повернути через панель хостингу або фтп клієнт закачавши на сервіс резервну копію сайту. А редагувати файли потрібно в блокноті Notepad ++ скачати з офіційного сайту можна тут .

Ще в швидкості планую написати статтю як захистити сайт на Вордпресс, і думаю є чим поділитися. Тому якщо бажаєте, можете підписатися на оновлення

З повагою Андрій Російських

Шановні читачі, якщо стаття вам була корисна, буду вдячний якщо натискати кнопки (внизу)

Кросворд для вас

(натисніть щоб почати, якщо не видно ціфр- поновіть сторінку)

(натисніть щоб почати, якщо не видно ціфр- поновіть сторінку)

Що він дає?

Дополнительная информация

rss
Карта