Не так давно один из моих сайтов на движке WordPress стал выводиться в результатах поиска с пометкой «Это сайт может угрожать безопасности вашего компьютера».
Была у меня раньше такая ситуация c сайтом на DLE, когда злоумышленниками в статьи был помещен вредоносный код.
Как от него избавиться, я уже описывал, но в данном случае данный метод не походит.
Первым делом я проверил сайт на предмет заражения вот этими сервисами:
- _https://antivirus-alarm.ru/proverka/
- _https://www.virustotal.com/ (выбрать «scan a URL»)
- _https://sitecheck.sucuri.net/scanner/
Но ничего найти не удалось.
При этом, что хотелось бы заметить, что не пускал посетителей на сайт только браузер Opera, а Хром и Мазила никаких предупреждений не выводили. В Яндекс.Вебмастере выводилось сообщение о содержании опасного кода и приводились примеры страниц, где он содержится.
Моя проверка исходного кода этих страниц ничего подозрительного не выявила. Обычно в таком случае подгружаются вредоносные скрипты, поэтому я решил полностью их убрать, т.е. никаких JS после этого на страницах не осталось вообще. Затем оставил заявку в Вебмастере на перепроверку сайта.
Через 2 дня сайт был перепроверен, но по прежнему остался в списке заряженных.
Есть еще такая фишка, что если разместить в посте на движке именно WordPress код iframe плеера как Вконтакте, то Яндекс тоже может пометить страницу как содержащую вирус. Поэтому если вставляете на страницу блога «плеер от Вконтакте», то закрывайте его в noindex. У меня не видеоблог и плееров там не было.
Мои шаги в направлении очистки сайта от вредоносного кода
В вебмастере Яндекса был вердик Troj/JSRedir-GS. Я порылся в интернете и наткнулся на статью _www.softblog.info/security/ostorozhno-troyan-trojjsredir-r-gumblar/ где было немного описано про этот троян и что его довольно трудно найти. Можно проверить файл .htaccess на лишние строчки кода, которые могут перенаправлять посетителей на другой ресурс.
В стандартном файле .htaccess содержатся только строчки
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Вообщем, я решил не мучаться с поисками, а удалить все файлы с хостинга и заново залить движок и шаблон. При этом взял новый шаблон, чтобы не было у меня подозрения о его заражении.
Перед тем как удалять все с хостинга, необходимо:
- Проверить, нет ли в папке uploads других файлов кроме gif, jpg, png и скопировать ее к себе на комп.
- Желательно сохранить файл экспорта: админка>инструменты > экспорт (должен быть установлен плагин Importer).
- Запомнить какие плагины и виджеты были установлены, чтобы иметь возможность привести все в прежний вид;
Удаление всех файлов с хостинга и установка заново движка (и подключение базы данных) с копированием папки uploads, заняло примерно 10 минут, а дальше я спокойно возился с установкой нужных плагинов и виджетов, не мешая посетителям Т.е. фактически сайт лежал 10 минут и посетители не имели к нему доступ.
Свеженький движок WordPress я скачал с оф. сайта и как говорилось выше заменил шаблон на новый, поэтому если Яндекс опять покажет что сайт вредоносный, то тогда вирус в базе данных. Вообщем, я отправил сайт снова на перепроверку в Вебмастере. Жду.
Допишу о результатах в этой статье, а также мои действия в случае если проблема останется.
А вот еще одно напоследок. Если у вас есть бекап сайта в котором вы уверены, то можно сравнить его с существующим.
Добавлено 18.04.2012.
Покопался еще в Гугле в поисках информации по обнаружению и удалению вируса troj/jsredir-gs и нашел две полезные статейки:
Очистка сайта от вируса с помощью плагина Web Security Tools для WordPress
_https://bezopasnostpc.ru/sites/site-protection/zarazhennyiy-sayt-ochistka-s-web-security-tools-ot-js-redirector-mrУдаление кода troj/jsredir-gs вручную с поиском через админку хостинга
_https://www.novichkoff.ru/kak-obnaruzhit-i-udalit-virus-jsredirector-mr-trj-na-sajte.htmlТакже окажется полезной для ознакомления тема на форуме, в которой обсуждается загрузку шела через уязвимость на DLE с появлением второго админа
https://www.maultalk.com/topic66628.html
Как оказывается Вебмастер Google может показать (но не всегда) сам код вируса в отличии от Яндекса. Поэтому стоит добавить сайт туда и облегчить тем самым поиски этой заразы в файлах сайта.
Добавлено 25.04.2012.
После второй перепроверки сайта Яндекс поздравил с тем, что вредоносного кода не обнаружено. Ура!Также рекомендую ознакомится с вот этой статьей если ваш сайт на DLE! Важная инфа!
Тысяча извинений, но — вредоноСНый! Без «Т».
И ужасно, и опасно
Букву Т писать напрасно))
Исправил
Написано: «В вебмастере Яндекса был вердик Troj/JSRedir-GS»
кто такой Вердик?
Есть же плагины для вордпресс, проверяющие орфографию.
Рекомендую
У меня установлен в браузере, но мне пох*й. Не нужно здесь писать не по теме.
если используется cms Dle вместо WordPress, как правильно вставить видео из контакта, что б избежать проблем с безопасностью?
ps: Благодарю за внимание)
В DLE 9.7 и выше уже поддерживается безопасная вставка видео из контакта в новость, без дополнительного вмешательства в код файлов движка.
Ну и в шаблоне лучше его в noindex взять.
Благодарю)))
Вы пробовали для DLE Парсер-конструктор видео Вконтакте VideoVK v.2.3.3 который во фри доступе? в нем можно проверять фильмы на отсутствие (так написано в описании:) у меня на сайте всего 60 видео, за неделю 6 видео из доступа изъяли(((
ps: Благодарю за внимание))))
Как-то раньше пробовал, но он у меня не работал. У меня сейчас свой скрипт, который это проверяет.