Сайт может угрожать безопасности вашего компьютера

как избавиться от вредоностного кода на сайте
Не так давно один из моих сайтов на движке WordPress стал выводиться в результатах поиска с пометкой «Это сайт может угрожать безопасности вашего компьютера».

Была у меня раньше такая ситуация c сайтом на DLE, когда злоумышленниками в статьи был помещен вредоносный код.

Как от него избавиться, я уже описывал, но в данном случае данный метод не походит.

Первым делом я проверил сайт на предмет заражения вот этими сервисами:
_http://antivirus-alarm.ru/proverka/
_https://www.virustotal.com/ (выбрать «scan a URL»)
_http://sitecheck.sucuri.net/scanner/

Но ничего найти не удалось.

При этом, что хотелось бы заметить, что не пускал посетителей на сайт только браузер Opera, а Хром и Мазила никаких предупреждений не выводили. В Яндекс.Вебмастере выводилось сообщение о содержании опасного кода и приводились примеры страниц, где он содержится.

Моя проверка исходного кода этих страниц ничего подозрительного не выявила. Обычно в таком случае подгружаются вреданосные скрипты, поэтому я решил полностью их убрать, т.е. никаких JS после этого на странцах не осталось вообще. Затем оставил заявку в Вебмастере на перепроверку сайта.
Через 2 дня сайт был перепроверен, но по прежнему остался в списке заряженных.

Есть еще такая фишка, что если разместить в посте на движке именно WordPress код iframe плеера как Вконтакте, то Яндекс тоже может пометить страницу как содержащую вирус. Поэтому если вставляете на страницу блога «плеер от Вконтакте», то закрывайте его в noindex. У меня не видеоблог и плееров там не было.

Мои шаги в направлении очистки сайта от вредоностного кода

В вебмастере Яндекса был вердик Troj/JSRedir-GS. Я порылся в интернете и наткнулся на статью _www.softblog.info/security/ostorozhno-troyan-trojjsredir-r-gumblar/ где было немного описано про этот троян и что его давольно трудно найти. Можно проверить файл .htaccess на лишние строчки кода, которые могут перенапровлять посетителей на другой ресурс.

В стандартном файле .htaccess содержатся только строчки
# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

Вообщем, я решил не мучаться с поисками, а удалить все файлы с хостинга и заново залить движок и шаблон. При этом взял новый шаблон, чтобы не было у меня подозрения о его заражении.

Перед тем как удалять все с хостинга, необходимо:
1) Проверить, нет ли в папке uploads других файлов кроме gif, jpg, png и скопировать ее к себе на комп.
2) Желательно сохранить файл экспорта: админка>инструменты > экспорт (должен быть установлен плагин Importer).
3) Запомнить какие плагины и виджеты были установлены, чтобы иметь возможность привести все в прежний вид;

Удаление всех файлов с хостинга и установка заново движка (и подключение базы данных) с копированием папки uploads, заняло примерно 10 минут, а дальше я спокойно возился с установкой нужных плагинов и виджетов, не мешая посетителям Т.е. фактически сайт лежал 10 минут и посетители не имели к нему доступ.

Свеженький движок WordPress я скачал с оф. сайта и как говорилось выше заменил шаблон на новый, поэтому если Яндекс опять покажет что сайт вредоносный, то тогда вирус в базе данных. Вообщем, я отправил сайт снова на перепроверку в Вебмастере. Жду.

Допишу о результатах в этой статье, а также мои действия в случае если проблема останется.

А вот еще одно напоследок. Если у вас есть бекап сайта в котором вы уверены, то можно сравнить его с существующим.

Порядок действий:

1. Сделайте бекап существующего сайта.
2. Разархивируйте бекап без вирусов или дистрибутив CMS.
3. Сделайте сравнение каталогов и файлов программой типа Araxis Merge.
4. Удалите левый код и левые файлы.

Добавлено 18.04.2012.
Покапался еще в Гугле в поисках информации по обнаружению и удалению вируса troj/jsredir-gs и нашел две полезные статейки:

Очистка сайта от вируса с помощью плагина Web Security Tools для WordPress
_http://bezopasnostpc.ru/sites/site-protection/zarazhennyiy-sayt-ochistka-s-web-security-tools-ot-js-redirector-mr

Удаление кода troj/jsredir-gs вручную с поиском через админку хостинга
_http://www.novichkoff.ru/kak-obnaruzhit-i-udalit-virus-jsredirector-mr-trj-na-sajte.html

Также окажется полезной для ознакомления тема на форуме, в которой обсуждается залитие шела через уязвимость на DLE с появлением второго админа
http://www.maultalk.com/topic66628.html

Как оказывается Вебмастер Google может показать (но не всегда) сам код вируса в отличии от Яндекса. Поэтому стоит добавить сайт туда и облегчить тем самым поиски этой заразы в файлах сайта.

Добавлено 25.04.2012.
После второй перепроверки сайта Яндекс поздравил с тем, что вредоносного кода не обнаружено. Ура!

Также рекомендую ознакомится с вот этой статьей если ваш сайт на DLE! Важная инфа!

Поблагодарите автора репостом:
Предыдущие статьи:

10 комментариев к записи “Сайт может угрожать безопасности вашего компьютера”

  • Юлия

    Тысяча извинений, но — вредоноСНый! Без «Т».

    И ужасно, и опасно
    Букву Т писать напрасно))

    • admin

      Исправил smile

      • Вердик

        Написано: «В вебмастере Яндекса был вердик Troj/JSRedir-GS»

        кто такой Вердик?

      • бачух

        Есть же плагины для вордпресс, проверяющие орфографию.
        Рекомендую

        • ARKSEO

          У меня установлен в браузере, но мне пох*й. Не нужно здесь писать не по теме.

  • Арсен

    если используется cms Dle вместо WordPress, как правильно вставить видео из контакта, что б избежать проблем с безопасностью?

    ps: Благодарю за внимание)

    • ARKSEO

      В DLE 9.7 и выше уже поддерживается безопасная вставка видео из контакта в новость, без дополнительного вмешательства в код файлов движка.
      Ну и в шаблоне лучше его в noindex взять.

  • Арсен

    Вы пробовали для DLE Парсер-конструктор видео Вконтакте VideoVK v.2.3.3 который во фри доступе? в нем можно проверять фильмы на отсутствие (так написано в описанииsmile у меня на сайте всего 60 видео, за неделю 6 видео из доступа изъяли(((

    ps: Благодарю за внимание))))

    • ARKSEO

      Как-то раньше пробовал, но он у меня не работал. У меня сейчас свой скрипт, который это проверяет.

Прокомментировать

Наверх ▲