Последние три дня я почти не отвечал на письма и не писал ничего нового на блог. Так получилось, что я совершенно случайно нашёл на своём блоге вирус.
Скажу сразу, подписчикам волноваться не нужно.
Я и сам нашёл этот вирус случайно, когда начал заниматься темой работы сайтов на WordPress в браузерах смартфонов, для второй версии курса «WordPress Функционал».
Открыл свой блог в своём iPhone и увидел, что главная страница блога перенаправляет на совершенно незнакомый сайт br-update.com , где настоятельно просят загрузить обновления безопасности для браузера.
Опасность была, но минимальная.
В первых вирус был рассчитан на узкую категорию пользователей смартфонов, простом браузере он никак не проявлялся. А пользователи моего блога в основном заходят с обыкновенных компьютеров. Смотрел в статистике. Те, кто захаживает со смартфонов, продвинутые пользователи и вряд ли поведутся на такой развод
Во вторых чтоб вирус сработал, нужно было загрузить и установить, типа обновление браузера, которое при установке предупреждало, что Вы должны доверить отправку смс и звонков этому приложению. Тут уж совсем сомнительно найти человека который разрешил отправку смс со своего телефона кому либо, тем более программе.
Хотя бывает всякое.
Я начал рыть блог.
Сначала я проверил его через всевозможные службы типа этой //www.google.com/safebrowsing/diagnostic?site=ashifin.com&hl=ru
Спрашивал и Каспера и у Яши.
Но все говорили, что мой ресурс кристально чист и беспокоится нечего. Но я-то видел, что индексная страница ведёт не туда, куда нужно.
Да и потом когда сами Гугл и Яндекс найдут вирус и исключат из поиска тогда хуже будет.
Короче я начал действовать по чёткой схеме.
Как я ловил вирус на сайте.
Сначала я спросил у Яндекса, была ли такая проблема у кого либо. Проблем с вирусами у всех было валом, но такой я не нашёл.
Только Каспер при переходе на сам сайт вредитель выдал мне своё предупреждение.
Короче я понял, что придётся бороться самому. Напишу, как действовал, возможно, кому поможет.
Второй шаг в ловле вируса.
Я открыл файл .htaccess и поискал там код перенаправления, но там был только стандартный код, что прописывается для ссылок ЧПУ.
Третий шаг в ловле вируса.
Далее я исключил шаблон.
Да, я знаю, что я сам его писал, но если какая либо падла влезла она могла изменить код везде где угодно.
Чтоб не копать код шаблона, я просто переключил на стандартный и посмотрел результат.
Редирект на сайт вредитель не ушёл.
Четвертый шаг в ловле вируса.
Я отключил и удалил те расширения и плагины которые больше не использовал на блоге.
Гад – редирект по-прежнему присутствовал.
Поиск затруднялся тем, что я работал на компьютере, который стоит на втором этаже, моего дома. А сеть Wi–Fi, через которую я заходил в Интернет со смартфона туда добивает слабо и мой iPhone брал ее через раз.
Мне приходилось каждый раз бегать вниз и проверять, как загрузился сайт.
Короче борьба шла, а редирект злосчастный br-update.com не пропадал.
Пятый шаг в ловле вируса.
Далее я стал по очереди отключать все плагины, даже те которым доверял на 100%.
Перенаправление упорно работало.
Тогда я проверил на всякий случай остальные свои сайты. Вирус нашёл ещё на двух.
Это тестовый info-m.pro, на котором тестирую все, что хочу поставить на блог и сайт моей фирмы www.vtor.com.ua.
Все эти три сайта находились в аккаунте одного пользователя. Значит был взломан, пользователь и негодяй проник к сайтам по FTP.
Пятый шаг и первая победа над вирусом.
Сайт свои фирмы давно хотел переделать потому, просто снёс все файлы, залил новую версию WordPress и подключил старую базу.
Сайт заработал и никаких вирусов на нем уже небыли. Первая победа над редирект ом была одержана.
Получалось что вирус в самой сборке WordPress. Вернее туда вписан.
Я посмотрел на дистрибутивы движка и заметил, что с развитием в нем стало меньше файлов.
Посмотрите на скриншот внизу это дистрибутивы второй (слева) третей (справа) сборок WordPress.
Когда мы обновляем движок, мы заменяем все файлы кроме файла конфигураций, .htaccess и robots.txt
В них я ничего не нашёл.
И выясняется, что есть ещё куча файлов, которые WordPress при обновлении не трогает.
Может я, и ошибаюсь, но ворошить эти файлы я не стал.
Я просто снёс их все обновил остальные и сайт заработал даже быстрее.
Редирект ушёл я, наконец, вздохнул спокойно.
Может я в чем то ошибаюсь, с вирусом на сайте боролся впервые, но вот так я его одолел.
А вообще желаю вам избежать подобных болячек, с этим геморроем я провозился почти три дня.
Мог бы что то полезное сделать, так нет же!
Буду рад читать ваше мнение в комментариях.
Интересное развлечение, ловля вирусов на сайте. Интересно, были-ли еще такие увлекательные занятия?
Можно было проверить по последнему изменению файла попробовать определить нахождение вредного кода. Долго перебирать их правда. Это как вариант.
Эх я и с вирусами на компьютере не умею толком бороться…а за сайт вообще страшно
За сайт пусть хостер чешется. Это его обязанность, не Ваша.
Первый раз слышу, что для обновление браузера нужно отправить смс или позвонить. Неужели есть те, кто на такое ведутся?!
Настоящая детективная история. Как говорится, “береженого Бог бережет”, поэтому данный алгоритм надо запомнить. Ко всему будь готов!
у меня он уже отпечатался в мозгу думаю не забуду ))
Страшная штука этот вирус, а еще страшней когда он у тебя на блоге это же вообще ужас!
Страшней всего Яндекс. А вирус переустановкой убьётся.
наверно вы хотели сказать если Яндекс узнает что на блоге вирус вот это вот страшно! Ведь в выдачи будет надпись что сайт может приставлять угрозу для компьютера…
Какой кошмар!
Статья про ловлю вируса читается как ужастик. А комментарии – того страшнее.
Вот так, кажется, поймаешь вирус, и уже ничего делать не захочется. Легче пристрелиться.
Бекап Вам в помощь, Ирина.
бэкапы сайта и базы данных, могут спасти все труды если вдруг такое случиться
Страшно все, что непонятно. А когда читаешь про эти коды, то думаешь, что сам никогда в таком не разберешься 😛
да не говорите как еще люди умудряются их создавать)
Ненавижу такие “ужастики” на ночь. Про вирусы и бан поисковых систем и взлом сайта и т.д. Но нужно быть готовым ко всему.
ДОС атаки -это DDOS? Может, происки конкурентов? Или их не было?
Есть Отдел К или это бесполезно?
Отдел К таким не занимается – они любят больше “хакеров” ловить всяких. А в таких вопросах лишь самооборона на пару с хостером!
Каких именно хакеров? Если я хендшейк с беспроводки соседа словил – они будут этим заниматься?
Вот смотрите, я могу залить хостеру свою SMS или нет? Она может ведь быть и хакерской. Или тот же ВордПресс переделать с целью проникновения на сам сервер. Как думаете, возможно ли такое?
Смотря как настроен сервер. но практически этот вирус может навредить только самому зараженному аккаунту.
Для взлома сервера вирус грузится в другую дерикторию и грузится через ssh протокол. одно время хостеры начали открывать клиентам этот протокол, а это самая страшная дыра в любом сервере. я когда у себя закрыл то сразу ушли все шпионские атаки, но пошли ДОС атаки.
Тогда был целый детектив и в итоге я вынужден был закрыть хостинг.
Познавательно. Но мне ещё чуток рано понять про ssh. Пока слушаю курсы о защите. Там фильм на 26 часов. Пока его просмотрю…
Строка «br-update.com» наверняка находилась в файле с JavaScript. И наверняка она была не в UTF-8, а в hex, т.е. в 16-ричном виде. Т.е. зашифрована была.
Ваша строка «br-update.com» в 16-ричном виде в JavaScript должна была тогда выглядеть вот так:
“%62%72%2d%75%70%64%61%74%65%2e%63%6f%6d”.
Как злоумышленник на FTP проник и своё что-то забросил так, что программа сработала. Он файл должен был оставить. Вы смотрели этот файл? В чём была суть лазейки, можно узнать? С FTP всё началось. Какой программой пользуетесь для соединения по FTP? Думается, у Вас Видоуз стоит.
Такие утечки могут быть на стороне хостера. Я сам держал хостинг и знаю как залазят на сервера. Мой сисадмин, В день по десятку шпионов находил и то потому что я его тормошил.
Иногда дают доступ фрилансерам недобросовестным, так было с моим одним клиентом.
Вообще взлoмать сайт не так уж и трудно, а если в конфиге есть данные FTP? как напрbмер в Joomla/ Эти данные даже в WordPress в базе можно накопать если сервер работает на ISP-менеджере.
У Вас есть статья, как Вы были хостером? С удовольствием почитал бы.
Вот как я его закрывал https://ashifin.com/novosti-info-masterskoj/xosting-cms-host-net-zakryt.html , а как работал думаю написать. вообще не благодарный бизнес. Чтоб работать нужно быть отмороженным и плевать на клиентов, что почти все хостеры и делают.
У клиентов взаимоисключающие требования, поэтому всем мил не будешь. Недовольные всегда найдутся. Хотя до какой степени наплевать на клиентов.
А можно ли поиском найти строку, в которой было бы “br-update.com” во всех файлах WordPress-а? Notepad++ умеет искать в каталогах с кучей файлов. Или как вариант:
>nslookup br-update.co
…
Non-authoritative answer:
Name: br-update.com
Address: 62.116.143.21
И искать по IP.
я ищу Тоталом или Дримвивером.
Статью бы написали. Я про поиск Тоталом и Дримвивером. Мне nslookup сподручнее.
Увлекательная статья! Это даже не статья – на рассказ тянет. Детективный!
По самому рассказу много что сказать можно. А если бы вирус был не в WordPress, а в Б/Д, вот тут-то тяжко бы пришлось. Неужели сносить всю Б/Д?
Зачем можно взять БД перегнать в текстовый и через поиск посмотреть в какой таблице.
потом через админку ЮД найти и убрать, или убрать в самом файле и залить по новой.
Спасибо за алгоритм поиска! Лучше, конечно, им никогда не пользоваться. Но вдруг не убережёшься.
Тут уже так сложно для понимания. Но неужели вирусы могут проникнуть в БД?
я если честно не в курсе ну думаю все может быть…
мне кажется статья всегда должна быть интересной как книга детективная!
На одном из пробных сайтов однажды столкнулся почти с такой же проблемой. Только яша и гугл ругались на сам мой сайт говоря что на нем расположена фишинговая ссылка. Как в последствии оказалось, после всевозможных проверок через различные сервисы, была проблема на сервере. После того как сервер привели в порядок – ругань яши и гугла на мой сайт прекратились. Поэтому в следующий раз предлагаю сперва обратиться в службу поддержки хостинга, а потом уже самому химичить.)))
Хостеры не будут проверять. Они высокомерные и считают пользователей ботанами.
не все!
Смотря какой хостер. Они тоже заинтересованы в чистоте того, что есть на их серверах.
ну я и говорю не все ну есть)
AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей.
//revisium.com/ai
Я так понял первые два сообщения уже не актуальны? или до сих пор полезные сервисы, кто знает?
Доброго времени суток Фёдор.Попробуйте воспользоваться сервисом: //www.siteguard.ru
Это система защиты сайтов.