На нашем сайте мы используем cookie для сбора информации технического характера и обрабатываем IP-адрес вашего местоположения. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies. Здесь вы можете узнать, как мы пользуемся файлами cookies.
Я согласен
логотип upread.ru

Обычное утро удаленного администратора сайта


Утро началось с неприятного сообщения от яндекс вебмастера:

Сайт или некоторые его страницы показываются с пометкой «Сайт может быть опасен». В результатах поиска позиции страниц с такой пометкой понижены. На сайте присутствует вредоносный код, который может заразить компьютеры посетителей вирусом или получить доступ к личной информации. Поведенческий анализ



Заходим на сайт и правда: мой НОД32 выводит печальную картину:



Ну что ж, начинаем разбираться. Первым делом меняем пароли на FTP – мало ли, хоть и редко, но все же ломают их. Далее переходим на rescan.pro и проверяем наш сайт онлайн. Одновременно качаем айболит для виндовс, скачиваем локально сайт в папку site (так проще) и запускаем его проверку с помощью этого самого айболита.



Через несколько минут как rescan, так и айболит показывают, что взлом да, действительно есть.



Появилась какая-то еще в корне сайта непонятная папка profilea – удаляем её. В нашем случае, посмотрев одновременно исходный код страницы и немного ходим по сайту – обнаруживается, что сломана верстка вывода похожих постов и вообще код вируса (точнее, код js, редиректящий) расположен подозрительно близко к related post. Отлично, пробуем отключить Yuzo Realted Posts и заменить файлы, которые айболит пометил как опасные. Заменяем, кстати, просто скачивая нашу версию вордпресс, распаковывая её и заменяя по FTP. Ура, после наших манипуляций, НОД 32 перестал ругаться на сайт! Кстати, гуглим Yuzo Realted Posts в буржунете и узнаем, что его взломали.



Не пользуйтесь данным плагином! Если он есть у вас на сайте, то деактивируйте его и удалите. После этого проверьте сайт, например, айболитом, и очистите все хвосты в системе. Вот такое обычное утро удаленного системного администратора сайтов.

В данном случае мы довольно быстро нашли угрозу, иногда бывает не так. В общем случае схема работы такая: качаем локально сайт и базу (не обязательно), потом если есть возможность, то восстанавливаем сайт до незараженного состояния (пару дней назад, к примеру) – то есть из бэкапа развертываем, меняем пароли и начинаем рыться в файловой системе. Иногда зараженные файлы находит даже обычный десктопный антивирусник.

Если вам требуется помощь по очистке сайта от вирусов, или необходимо сопровождение вашего ресурса в сети (удаленное администрирование), то вы можете написать мне.




тегизаметки, информационная безопасность, взлом сайтов

Читайте также:




CTRL Z для VBA, или оптимизация работы макроса CorelDraw
Простейшая SQL инъекция для чайников


© upread.ru 2013-2019
При перепечатке активная ссылка на сайт обязательна.
Задать вопрос
письмо
Здравствуйте! Вы можете задать мне любой вопрос. Если не получается отправить сообщение через эту форму, то пишите на почу up777up@yandex.ru
Отправляя сообщение я подтверждаю, что ознакомлен и согласен с политикой конфиденциальности данного сайта.